| | | | | | | | |
|
| | Имя протокола | Тип события | Категория | Дата создания | Пользователь | Источник | Описание
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:30:19 | | Microsoft-Windows-CAPI2 | 257: Службе шифрования не удалось инициализировать базу данных каталога. Ошибка ESENT: -1409.
|
| | Приложение | Внимание | 1 | 2021-08-01 16:30:21 | | Windows Search Service | 1008: Служба Windows Search запускается и пытается удалить старый поисковый индекс (причина: Полный сброс индекса).
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:32:22 | | SecurityCenter | 16: Ошибка при изменении состояния Windows Defender на SECURITY_PRODUCT_STATE_ON.
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:33:12 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=2
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:34:30 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:34:34 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:35:28 | | DSAService | 1003: DSAService.exe:OnStart Exception: System.ArgumentException: invalid directory handle||Имя параметра: value|| в DSAServiceCore.Controllers.Computer.SettingsController.SetDsaDirectory(String value)|| в Intel.DSA.Service.Service.OnStartTask()
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:35:46 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:35:46 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:35:46 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:35:46 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:35:46 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\Windows\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:35:46 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:35:46 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:36:35 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:36:35 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:36:35 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:36:35 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:36:35 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\Windows\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:36:35 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:36:35 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:36:37 | СИСТЕМА | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "BITS" в библиотеке DLL "C:\Windows\System32\bitsperf.dll" не удалась с кодом ошибки 1359. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:38:01 | Tsubasa | Microsoft-Windows-RestartManager | 10010: Не удалось перезапустить приложение "C:\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe" (ИД процесса 10196) - 1.
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:39:15 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:39:17 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:41:13 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:41:16 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Внимание | Нет | 2021-08-01 16:44:26 | СИСТЕМА | Microsoft-Windows-RestartManager | 10010: Не удалось перезапустить приложение "C:\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe" (ИД процесса 8124) - 1.
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:44:38 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:44:49 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:45:07 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:45:07 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:45:07 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:45:07 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:45:07 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:45:07 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | 100 | 2021-08-01 16:52:59 | | Application Error | 1000: Имя сбойного приложения: wuauclt.exe, версия: 10.0.19041.906, метка времени: 0x01b4b287 Имя сбойного модуля: wuuhosdeployment.dll_unloaded, версия: 10.0.19041.867, метка времени: 0x14e58421 Код исключения: 0xc0000005 Смещение ошибки: 0x000000000001a3f3 Идентификатор сбойного процесса: 0x27a4 Время запуска сбойного приложения: 0x01d786db74fe8974 Путь сбойного приложения: C:\Windows\system32\wuauclt.exe Путь сбойного модуля: wuuhosdeployment.dll Идентификатор отчета: 93020473-52dc-44df-838c-e3e822c79f87 Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:54:56 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007139F Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Внимание | Нет | 2021-08-01 16:54:57 | СИСТЕМА | Microsoft-Windows-WMI | 63: Поставщик DMWmiBridgeProv зарегистрирован в пространстве имен root\cimv2\mdm\dmmap инструментария управления Windows и будет использовать учетную запись LocalSystem. Она обладает повышенными привилегиями, поэтому, если поставщик некорректно олицетворяет запросы пользователей, безопасность может оказаться под угрозой.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:54:57 | СИСТЕМА | Microsoft-Windows-WMI | 63: Поставщик DMWmiBridgeProv зарегистрирован в пространстве имен root\cimv2\mdm\dmmap инструментария управления Windows и будет использовать учетную запись LocalSystem. Она обладает повышенными привилегиями, поэтому, если поставщик некорректно олицетворяет запросы пользователей, безопасность может оказаться под угрозой.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:54:57 | СИСТЕМА | Microsoft-Windows-WMI | 63: Поставщик DMWmiBridgeProv зарегистрирован в пространстве имен root\cimv2\mdm\dmmap инструментария управления Windows и будет использовать учетную запись LocalSystem. Она обладает повышенными привилегиями, поэтому, если поставщик некорректно олицетворяет запросы пользователей, безопасность может оказаться под угрозой.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:54:57 | СИСТЕМА | Microsoft-Windows-WMI | 63: Поставщик DMWmiBridgeProv1 зарегистрирован в пространстве имен root\cimv2\mdm\dmmap инструментария управления Windows и будет использовать учетную запись LocalSystem. Она обладает повышенными привилегиями, поэтому, если поставщик некорректно олицетворяет запросы пользователей, безопасность может оказаться под угрозой.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:54:57 | СИСТЕМА | Microsoft-Windows-WMI | 63: Поставщик DMWmiBridgeProv1 зарегистрирован в пространстве имен root\cimv2\mdm\dmmap инструментария управления Windows и будет использовать учетную запись LocalSystem. Она обладает повышенными привилегиями, поэтому, если поставщик некорректно олицетворяет запросы пользователей, безопасность может оказаться под угрозой.
|
| | Приложение | Внимание | Нет | 2021-08-01 16:54:57 | СИСТЕМА | Microsoft-Windows-WMI | 63: Поставщик DMWmiBridgeProv1 зарегистрирован в пространстве имен root\cimv2\mdm\dmmap инструментария управления Windows и будет использовать учетную запись LocalSystem. Она обладает повышенными привилегиями, поэтому, если поставщик некорректно олицетворяет запросы пользователей, безопасность может оказаться под угрозой.
|
| | Приложение | Ошибка | Нет | 2021-08-01 16:55:57 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 17:00:00 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:00:00 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:00:00 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:00:00 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\Windows\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:00:00 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:00:00 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | Нет | 2021-08-01 17:07:56 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 17:07:58 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Внимание | 1 | 2021-08-01 17:08:11 | Tsubasa | Chrome | 256: ???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????›??????????›??????????????????????›????l
|
| | Приложение | Внимание | 1 | 2021-08-01 17:08:15 | Tsubasa | Chrome | 256: ?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????›????????????????
|
| | Приложение | Ошибка | Нет | 2021-08-01 17:11:49 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:11:49 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:11:49 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:11:49 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:11:49 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:11:50 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | 100 | 2021-08-01 17:16:43 | | Application Error | 1000: Имя сбойного приложения: MsMpEng.exe, версия: 4.18.1909.6, метка времени: 0x2b5ae0b5 Имя сбойного модуля: mprtp.dll, версия: 4.18.1909.6, метка времени: 0x64f86809 Код исключения: 0xc0000409 Смещение ошибки: 0x000000000007c16d Идентификатор сбойного процесса: 0xe28 Время запуска сбойного приложения: 0x01d786de9ac44310 Путь сбойного приложения: C:\Program Files\Windows Defender\MsMpEng.exe Путь сбойного модуля: C:\Program Files\Windows Defender\mprtp.dll Идентификатор отчета: aab0a356-04df-49c7-8ad9-b8fbacb9a73f Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | Приложение | Ошибка | 100 | 2021-08-01 17:18:47 | | Application Error | 1000: Имя сбойного приложения: MsMpEng.exe, версия: 4.18.1909.6, метка времени: 0x2b5ae0b5 Имя сбойного модуля: mprtp.dll, версия: 4.18.1909.6, метка времени: 0x64f86809 Код исключения: 0xc0000409 Смещение ошибки: 0x000000000007c16d Идентификатор сбойного процесса: 0x1dd8 Время запуска сбойного приложения: 0x01d786dfe6c13cab Путь сбойного приложения: C:\Program Files\Windows Defender\MsMpEng.exe Путь сбойного модуля: C:\Program Files\Windows Defender\mprtp.dll Идентификатор отчета: b29950f0-5bb2-4711-b960-a871aecf1f9c Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | Приложение | Ошибка | Нет | 2021-08-01 17:20:59 | | Microsoft Security Client | 2003: Требуемая операция для метафайлов не поддерживается.
|
| | Приложение | Ошибка | Нет | 2021-08-01 17:20:59 | | Microsoft Security Client | 2002: Тип или атрибут класса окна задан неверно.
|
| | Приложение | Ошибка | Нет | 2021-08-01 17:20:59 | | Microsoft Security Client | 3002: Не найден файл диспетчера очереди.
|
| | Приложение | Ошибка | Нет | 2021-08-01 17:21:00 | | .NET Runtime | 1025: Application: wmiprvse.exe Framework Version: v4.0.30319 Description: The application requested process termination through System.Environment.FailFast(string message). Message: Непредусмотренное исключение, инициированное поставщиком: System.IO.FileLoadException: File name: 'Microsoft.AppV.AppvClientComConsumer, Version=10.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' at Microsoft.AppV.AppvPublishingServerWMI.AppvPublishingServer.EnumeratePublishingServers() Stack: at System.Environment.FailFast(System.String) at WmiNative.WbemProvider.WmiNative.IWbemServices.CreateInstanceEnumAsync(System.String, Int32, WmiNative.IWbemContext, WmiNative.IWbemObjectSink)
|
| | Приложение | Ошибка | 100 | 2021-08-01 17:21:00 | | Application Error | 1000: Имя сбойного приложения: wmiprvse.exe, версия: 10.0.19041.546, метка времени: 0x5da7ab91 Имя сбойного модуля: unknown, версия: 0.0.0.0, метка времени: 0x00000000 Код исключения: 0x80131623 Смещение ошибки: 0x00007ffe9dfd41cf Идентификатор сбойного процесса: 0x2fb4 Время запуска сбойного приложения: 0x01d786e07331a31f Путь сбойного приложения: C:\Windows\system32\wbem\wmiprvse.exe Путь сбойного модуля: unknown Идентификатор отчета: 970a4b38-a6c8-4ea5-b0e3-91fc4f104891 Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | Приложение | Внимание | Нет | 2021-08-01 17:26:26 | | Software Protection Platform Service | 1029: За время использования лицензии не удалось получить подробные сведения об ошибке. Последняя ошибка 0xC004F015.
|
| | Приложение | Ошибка | Нет | 2021-08-01 17:51:33 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 17:51:35 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 17:55:23 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:55:23 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:55:23 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:55:23 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:55:23 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 17:55:23 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:03 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:03 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:03 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x86\11.0.61030.0\vcredist_x86.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:03 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:03 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:03 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x86_False\11.0.61030.0\vcredist_x86_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:04 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:04 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:04 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x86_False\11.0.60610.1\vcredist_x86.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.60610; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:05 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:05 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:05 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x86_False\11.0.60610.1\vcredist_x86_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.60610; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:06 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:06 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:06 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x86_False\11.0.51106.1\vcredist_x86.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.51106; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:07 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:07 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:07 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x86_False\11.0.51106.1\vcredist_x86_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.51106; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:08 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:08 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:08 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x86_False_v\11.0.50727.1\vcredist_x86.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.50727; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:09 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:09 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:09 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x86_False_v\11.0.50727.1\vcredist_x86_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.50727; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:13 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:13 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:13 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x86\12.0.40664.0\vcredist_x86.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.40664; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:13 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:13 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:13 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x86_False\12.0.40664.0\vcredist_x86_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.40664; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:14 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:14 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:14 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Windows\Temp\{094E1B4C-0E40-4490-8DD9-0AE48D246F96}\.be\VC_redist.x86.exe -q -burn.elevated BurnPipe.{87234213-38D0-438C-965F-D920B4898A73} {D0437989-17DC-42B9-A3DA-7F68FA898865} 10752; Описание = Microsoft Visual C++ 2015-2019 Redistributable (x86) - 14.25.28508; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:19 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:19 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:19 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Windows\Temp\{0206540B-5C51-46F7-98C1-1E2FFE7E66CA}\.be\VC_redist.x86.exe -q -burn.elevated BurnPipe.{8EB2BA94-FAB7-4FE4-9B95-3E370505169B} {6AB1E78B-9651-4076-8774-7006E4612243} 3768; Описание = Microsoft Visual C++ 2015-2019 Redistributable (x86) - 14.28.29805; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:47 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:47 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:47 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x64\11.0.61030.0\vcredist_x64.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:48 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:48 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:48 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x64_False\11.0.61030.0\vcredist_x64_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:49 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:49 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:49 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x64_False\11.0.60610.1\vcredist_x64.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.60610; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:50 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:50 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:50 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x64_False\11.0.60610.1\vcredist_x64_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.60610; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:51 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:51 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:51 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x64_False\11.0.51106.1\vcredist_x64.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.51106; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:52 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:52 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:52 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x64_False\11.0.51106.1\vcredist_x64_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.51106; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:53 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:53 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:53 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x64_False_v\11.0.50727.1\vcredist_x64.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.50727; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:54 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:54 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:54 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2012_x64_False_v\11.0.50727.1\vcredist_x64_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.50727; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:57 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:57 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:57 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x64\12.0.40664.0\vcredist_x64.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.40664; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:58 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:58 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:58 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x64_False\12.0.40664.0\vcredist_x64_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.40664; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:59 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:59 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:31:59 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x64_False\12.0.40660.0\vcredist_x64.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.40660; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:00 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:00 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:00 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x64_False\12.0.40660.0\vcredist_x64_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.40660; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:00 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:00 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:00 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x86_False\12.0.40660.0\vcredist_x86.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.40660; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:01 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:01 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:01 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x86_False\12.0.40660.0\vcredist_x86_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.40660; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:01 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:01 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:01 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x64_False\12.0.40649.5\vcredist_x64.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.40649; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:02 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:02 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:02 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x64_False\12.0.40649.5\vcredist_x64_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.40649; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:02 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:02 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:02 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x86_False\12.0.40649.5\vcredist_x86.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.40649; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:03 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:03 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:03 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x86_False\12.0.40649.5\vcredist_x86_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.40649; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:03 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:03 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:03 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x64_False\12.0.30501.0\vcredist_x64.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:04 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:04 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:04 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x64_False\12.0.30501.0\vcredist_x64_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:04 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:04 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:04 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x86_False\12.0.30501.0\vcredist_x86.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:05 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:05 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:05 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x86_False\12.0.30501.0\vcredist_x86_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:05 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:05 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:05 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x64_False\12.0.21005.1\vcredist_x64.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:06 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:06 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:06 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x64_False\12.0.21005.1\vcredist_x64_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:06 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:06 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:06 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x86_False\12.0.21005.1\vcredist_x86.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:07 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:07 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:07 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Users\Tsubasa\AppData\Local\Temp\VCRedist\VCRedist_2013_x86_False\12.0.21005.1\vcredist_x86_eng.exe /quiet /norestart; Описание = Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:08 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:08 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:08 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Windows\Temp\{949E700B-A8BB-4BCE-BDD3-F397A86AA072}\.be\VC_redist.x64.exe -q -burn.elevated BurnPipe.{21B32F25-F837-44D2-A605-9ED9AFFA14F9} {BDBBC2A4-7E32-4D73-A8E8-E00672FC3776} 14808; Описание = Microsoft Visual C++ 2015-2019 Redistributable (x64) - 14.25.28508; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:10 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем IVssCoordinatorEx2. [0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. ] Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:10 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x80070422, Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства. . Операция: Создание экземпляра сервера VSS
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:32:10 | | System Restore | 8193: Не удалось создать точку восстановления (Процесс = C:\Windows\Temp\{048E3460-19D7-4BB1-8C2C-CD658BBCF76F}\.be\VC_redist.x64.exe -q -burn.elevated BurnPipe.{3DAFB55B-B29A-4860-8FBB-63795BA25A0B} {1E1E9E58-6CB8-491F-BEA6-53EC91620EE0} 10868; Описание = Microsoft Visual C++ 2015-2019 Redistributable (x64) - 14.28.29805; HR = 0x80042302).
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:54:31 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:54:34 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Внимание | Нет | 2021-08-01 18:58:21 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:58:26 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 18:58:26 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 18:58:26 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 18:58:26 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\Windows\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 18:58:26 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 18:58:26 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:58:27 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:58:33 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:58:34 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:58:41 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 18:58:55 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:01:36 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:01:41 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:05:26 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:05:26 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:05:26 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:05:26 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:05:26 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:05:26 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:05:31 | СИСТЕМА | Microsoft-Windows-Perflib | 1011: Процедура закрытия в библиотеке DLL расширяемого счетчика "C:\Windows\System32\bitsperf.dll" для службы "BITS" создала исключение 3221225477 по адресу 0x7ffefc7422ef. Данные о производительности, возвращаемые библиотекой DLL счетчика, не будут возвращены в блоке данных производительности Perf Data Block.
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:05:31 | СИСТЕМА | Microsoft-Windows-Perflib | 1017: Отключен сбор данных производительности для службы "BITS", поскольку библиотека счетчиков производительности для этой службы возвратила одну или несколько ошибок. Ошибки, которые привели к этому, были записаны в журнал событий приложений. Исправьте эти ошибки перед тем, как снова включать сбор данных производительности для этой службы.
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:09:19 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:13:38 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:13:41 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:17:28 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:17:28 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:17:28 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:17:28 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:17:28 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:17:28 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:19:34 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:19:36 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:23:21 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:23:21 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:23:21 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:23:21 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:23:21 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:23:21 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:44:24 | | Software Protection Platform Service | 8225: Существующие данные планировщика не соответствуют ожидаемым. Расписание будет обработано повторно. Причина:0x8007000D
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:44:31 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=TimerEvent
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:44:33 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Внимание | Нет | 2021-08-01 19:47:32 | | Software Protection Platform Service | 8225: Существующие данные планировщика не соответствуют ожидаемым. Расписание будет обработано повторно. Причина:0x8007000D
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:47:49 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:47:49 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=TimerEvent
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:47:50 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 19:51:33 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:51:33 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:51:33 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:51:33 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:51:33 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 19:51:33 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | Нет | 2021-08-01 20:08:57 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {4e14fba2-2e22-11d1-9964-00c04fbbb345} под именем CEventSystem. [0x8007045b, Идет завершение работы системы. ] ?
|
| | Приложение | Ошибка | Нет | 2021-08-01 20:17:44 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 20:17:53 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 20:21:37 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 20:21:37 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 20:21:37 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 20:21:37 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 20:21:37 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 20:21:37 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | Нет | 2021-08-01 20:25:08 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 20:25:35 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 21:42:45 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 21:42:45 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 21:42:45 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 21:42:45 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\Windows\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 21:42:45 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 21:42:45 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | Нет | 2021-08-01 21:45:28 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {4e14fba2-2e22-11d1-9964-00c04fbbb345} под именем CEventSystem. [0x8007045b, Идет завершение работы системы. ] ?
|
| | Приложение | Ошибка | Нет | 2021-08-01 21:45:28 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x8007045b, Идет завершение работы системы. . ?
|
| | Приложение | Ошибка | Нет | 2021-08-01 21:45:28 | | VSS | 13: Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {4e14fba2-2e22-11d1-9964-00c04fbbb345} под именем CEventSystem. [0x8007045b, Идет завершение работы системы. ] ?
|
| | Приложение | Ошибка | Нет | 2021-08-01 21:45:28 | | VSS | 8193: Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы CoCreateInstance.. hr = 0x8007045b, Идет завершение работы системы. . ?
|
| | Приложение | Ошибка | Нет | 2021-08-01 21:49:24 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 21:49:24 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 21:49:37 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 21:51:13 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 21:51:13 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 21:51:13 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 21:51:13 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 21:51:13 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\Windows\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 21:51:13 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 21:51:14 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Ошибка | Нет | 2021-08-01 22:02:56 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | Приложение | Ошибка | Нет | 2021-08-01 22:02:58 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | Приложение | Ошибка | Нет | 2021-08-01 22:06:43 | Tsubasa | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 22:06:43 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 22:06:43 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\Windows\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 22:06:43 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | Приложение | Внимание | Нет | 2021-08-01 22:06:43 | Tsubasa | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | Приложение | Внимание | Нет | 2021-08-01 22:06:43 | Tsubasa | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:34 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:34 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:34 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x198 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 16:28:34 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:35 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x198 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 16:28:36 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x260 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x208 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x270 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x258 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c4 Имя нового процесса: ????????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x258 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2ec Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x260 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x304 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x260 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1f4 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x198 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x208 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x198 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x218 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x208 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:28:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x258 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x198 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x12e54 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x12e75 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1aec5 Связанный ИД входа: 0x1aed7 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1aed7 Связанный ИД входа: 0x1aec5 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1aec5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1aed7 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x1285f
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4717: Учетной записи предоставлен доступ к безопасности системы. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-80-3169285310-278349998-1452333686-3865143136-4212226833 Предоставленный доступ: Право на доступ: SeServiceLogonRight
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4720: Создана учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: MINWINPC Атрибуты: Имя учетной записи SAM: WDAGUtilityAccount Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x0 Новое значение UAC: 0x15 Управление учетной записью пользователя: %%2080 %%2082 %%2084 Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Privileges -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: MINWINPC Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: - Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: 0x15 Новое значение UAC: 0x11 Управление учетной записью пользователя: %%2050 Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: MINWINPC Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: - Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: MINWINPC Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: - Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4731: Создана локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая группа: Идентификатор безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Атрибуты: Имя учетной записи SAM: Пользователи удаленного рабочего стола Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4731: Создана локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая группа: Идентификатор безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Атрибуты: Имя учетной записи SAM: Операторы настройки сети Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4731: Создана локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая группа: Идентификатор безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Атрибуты: Имя учетной записи SAM: Пользователи системного монитора Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4731: Создана локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая группа: Идентификатор безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Атрибуты: Имя учетной записи SAM: Пользователи журналов производительности Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4731: Создана локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая группа: Идентификатор безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Атрибуты: Имя учетной записи SAM: Пользователи DCOM Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4731: Создана локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая группа: Идентификатор безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Атрибуты: Имя учетной записи SAM: IIS_IUSRS Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4731: Создана локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая группа: Идентификатор безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Атрибуты: Имя учетной записи SAM: Криптографические операторы Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4732: Добавлен член локальной группы с включенной безопасностью. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Член: ИД безопасности: S-1-5-17 Имя учетной записи: - Группа: ИД безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Дополнительные сведения: Привилегии: - Время окончания срока действия: (null)
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4731: Создана локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая группа: Идентификатор безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Атрибуты: Имя учетной записи SAM: Читатели журнала событий Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4731: Создана локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая группа: Идентификатор безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Атрибуты: Имя учетной записи SAM: Администраторы Hyper-V Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4731: Создана локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая группа: Идентификатор безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Атрибуты: Имя учетной записи SAM: Операторы помощи по контролю учетных записей Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4731: Создана локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Новая группа: Идентификатор безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Атрибуты: Имя учетной записи SAM: Пользователи удаленного управления Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:37 | | Microsoft-Windows-Security-Auditing | 4728: Добавлен член глобальной группы с включенной безопасностью. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Член: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: - Группа: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-513 Имя группы: Отсутствует Домен группы: MINWINPC Дополнительные сведения: Привилегии: - Время окончания срока действия: (null)
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4718: Удален доступ учетной записи к безопасности системы. Субъект: Идентификатор входа безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-32-546 Удаленный доступ: Право доступа: SeInteractiveLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4718: Удален доступ учетной записи к безопасности системы. Субъект: Идентификатор входа безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-32-581 Удаленный доступ: Право доступа: SeInteractiveLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4718: Удален доступ учетной записи к безопасности системы. Субъект: Идентификатор входа безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-32-581 Удаленный доступ: Право доступа: SeNetworkLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4718: Удален доступ учетной записи к безопасности системы. Субъект: Идентификатор входа безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-32-583 Удаленный доступ: Право доступа: SeInteractiveLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4718: Удален доступ учетной записи к безопасности системы. Субъект: Идентификатор входа безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-32-583 Удаленный доступ: Право доступа: SeNetworkLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4718: Удален доступ учетной записи к безопасности системы. Субъект: Идентификатор входа безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-80-3169285310-278349998-1452333686-3865143136-4212226833 Удаленный доступ: Право доступа: SeServiceLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4717: Учетной записи предоставлен доступ к безопасности системы. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-32-544 Предоставленный доступ: Право на доступ: SeRemoteInteractiveLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4717: Учетной записи предоставлен доступ к безопасности системы. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-32-551 Предоставленный доступ: Право на доступ: SeNetworkLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4717: Учетной записи предоставлен доступ к безопасности системы. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-32-551 Предоставленный доступ: Право на доступ: SeBatchLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4717: Учетной записи предоставлен доступ к безопасности системы. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-32-559 Предоставленный доступ: Право на доступ: SeBatchLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4718: Удален доступ учетной записи к безопасности системы. Субъект: Идентификатор входа безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-1-0 Удаленный доступ: Право доступа: SeInteractiveLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4718: Удален доступ учетной записи к безопасности системы. Субъект: Идентификатор входа безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-1-0 Удаленный доступ: Право доступа: SeRemoteInteractiveLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4717: Учетной записи предоставлен доступ к безопасности системы. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-21-3866702510-2991017552-1842836080-501 Предоставленный доступ: Право на доступ: SeInteractiveLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4717: Учетной записи предоставлен доступ к безопасности системы. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-21-3866702510-2991017552-1842836080-501 Предоставленный доступ: Право на доступ: SeDenyInteractiveLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4717: Учетной записи предоставлен доступ к безопасности системы. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-21-3866702510-2991017552-1842836080-501 Предоставленный доступ: Право на доступ: SeDenyNetworkLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4718: Удален доступ учетной записи к безопасности системы. Субъект: Идентификатор входа безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-90-0 Удаленный доступ: Право доступа: SeInteractiveLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4717: Учетной записи предоставлен доступ к безопасности системы. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-32-555 Предоставленный доступ: Право на доступ: SeRemoteInteractiveLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4717: Учетной записи предоставлен доступ к безопасности системы. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Код входа: 0x3e7 Измененная учетная запись: Имя учетной записи: S-1-5-80-0 Предоставленный доступ: Право на доступ: SeServiceLogonRight
|
| | Безопасность | Audit Success | 13569 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4739: Изменена политика домена. Тип изменения: <Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-a5ba-3e3b0328c30d}'/><EventID>4739</EventID><Version>0</Version><Level>0</Level><Task>13569</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-08-01T13:28:43.3339063Z'/><EventRecordID>89</EventRecordID><Correlation ActivityID='{1f8d1dcd-86d9-0002-e81e-8d1fd986d701}'/><Execution ProcessID='772' ThreadID='876'/><Channel>Security</Channel><Computer>WIN-LS355QA9R00</Computer><Security/></System><ProcessingErrorData><ErrorCode>15005</ErrorCode><DataItemName>DomainBehaviorVersion</DataItemName><EventPayload>1F043E043B043804420438043A04300420003F04300440043E043B043504390400004D0049004E00570049004E00500043000000010400000000000515000000AE3279E6504E47B27072D76D0101000000000005120000004D0049004E00570049004E0050004300240000000000E7030000000000002D000000CD1D8D1FD9860200CD1D8D1FD98602002D0000002D0000002D0000002D0000003000000030000000300000002D0000002D0000002D0000002D000000</EventPayload></ProcessingErrorData></Event> изменено Субъект: Идентификатор безопасности: (null) Имя учетной записи: (null) Домен учетной записи: (null) Идентификатор входа: (null) Домен: Имя домена: (null) Идентификатор домена: (null) Измененные атрибуты: Мин. срок действия паролей: (null) Макс. срок действия пароля: (null) Принудительный выход: (null) Порог блокировки: (null) Сброс счетчика блокировок через: (null) Длительность блокировки: (null) Свойства пароля: (null) Мин. Длина пароля: (null) Длина журнала паролей: (null) Квота учетной записи компьютера: (null) Смешанный режим домена: (null) Версия поведения домена: (null) Сведения об изготовителе оборудования (OEM): (null) Дополнительные сведения: Привилегии: (null)
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4725: Отключена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: MINWINPC
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: MINWINPC Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: - Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: 0x210 Новое значение UAC: 0x211 Управление учетной записью пользователя: %%2080 Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4725: Отключена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: MINWINPC
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: MINWINPC Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: - Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: 0x214 Новое значение UAC: 0x215 Управление учетной записью пользователя: %%2080 Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4732: Добавлен член локальной группы с включенной безопасностью. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Член: ИД безопасности: S-1-5-4 Имя учетной записи: - Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Дополнительные сведения: Привилегии: - Время окончания срока действия: (null)
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:43 | | Microsoft-Windows-Security-Auditing | 4732: Добавлен член локальной группы с включенной безопасностью. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Член: ИД безопасности: S-1-5-11 Имя учетной записи: - Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Дополнительные сведения: Привилегии: - Время окончания срока действия: (null)
|
| | Безопасность | Audit Success | 101 | 2021-08-01 16:28:44 | | Microsoft-Windows-Eventlog | 1108: Служба ведения журнала событий обнаружила ошибку при обработке входящего события, опубликованного Microsoft-Windows-Security-Auditing.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:28:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:28:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf54 Имя процесса: C:\Program Files (x86)\Microsoft\Edge\Application\89.0.774.68\Installer\setup.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:28:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:28:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:29:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: MINWINPC$ Домен учетной записи: ? ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:29:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:10 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:10 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:10 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x188 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:10 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1ac Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x188 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 16:30:10 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 16:30:11 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1fc Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x188 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x20c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1fc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x250 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x188 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x258 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1fc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x260 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x250 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2a0 Имя нового процесса: ????????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x250 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e8 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x258 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:30:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2fc Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x258 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:12 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x258 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xac55 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x258 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:12 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2a0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xac7c Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:30:12 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xa8eb
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2a0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10545 Связанный ИД входа: 0x10558 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10558 Связанный ИД входа: 0x10545 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10545 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10558 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x534 Имя процесса: C:\Windows\System32\oobe\msoobe.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x26a96 Связанный ИД входа: 0x26b94 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x534 Имя процесса: C:\Windows\System32\oobe\msoobe.exe Сведения о сети: Имя рабочей станции: WIN-LS355QA9R00 Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x26b94 Связанный ИД входа: 0x26a96 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x534 Имя процесса: C:\Windows\System32\oobe\msoobe.exe Сведения о сети: Имя рабочей станции: WIN-LS355QA9R00 Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x26a96 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4720: Создана учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Новая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Атрибуты: Имя учетной записи SAM: defaultuser0 Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x0 Новое значение UAC: 0x15 Управление учетной записью пользователя: %%2080 %%2082 %%2084 Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Privileges -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4722: Включена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: defaultuser0 Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x15 Новое значение UAC: 0x14 Управление учетной записью пользователя: %%2048 Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: defaultuser0 Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: 01.08.2021 16:30:19 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x14 Новое значение UAC: 0x14 Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4724: Выполнена попытка сброса пароля учетной записи. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: defaultuser0 Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: 01.08.2021 16:30:19 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x14 Новое значение UAC: 0x214 Управление учетной записью пользователя: %%2089 Параметры пользователя: - Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4724: Выполнена попытка сброса пароля учетной записи. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4728: Добавлен член глобальной группы с включенной безопасностью. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Член: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: - Группа: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-513 Имя группы: Отсутствует Домен группы: DESKTOP-F1CGCQV Дополнительные сведения: Привилегии: - Время окончания срока действия: (null)
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4732: Добавлен член локальной группы с включенной безопасностью. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Член: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: - Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Дополнительные сведения: Привилегии: - Время окончания срока действия: (null)
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x534 Имя процесса: C:\Windows\System32\oobe\msoobe.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x534 Имя процесса: C:\Windows\System32\oobe\msoobe.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4732: Добавлен член локальной группы с включенной безопасностью. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Член: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: - Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Дополнительные сведения: Привилегии: - Время окончания срока действия: (null)
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x534 Имя процесса: C:\Windows\System32\oobe\msoobe.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x534 Имя процесса: C:\Windows\System32\oobe\msoobe.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x98c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x794 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x794 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:20 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:30:20 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Temp\winre\ExtractedFromWim Идентификатор дескриптора: 0xa54 Сведения о процессе: Идентификатор процесса: 0x534 Имя процесса: C:\Windows\System32\oobe\msoobe.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x10c4 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x10c4 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x7cc Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2021-08-01T13:30:23.4296310Z Новое время: 2021-08-01T13:30:23.4299211Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-544 Домен учетной записи: Builtin Старое имя учетной записи: Администраторы Новое имя учетной записи: Администраторы Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-545 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи Новое имя учетной записи: Пользователи Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-546 Домен учетной записи: Builtin Старое имя учетной записи: Гости Новое имя учетной записи: Гости Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-551 Домен учетной записи: Builtin Старое имя учетной записи: Операторы архива Новое имя учетной записи: Операторы архива Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-552 Домен учетной записи: Builtin Старое имя учетной записи: Репликатор Новое имя учетной записи: Репликатор Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-555 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи удаленного рабочего стола Новое имя учетной записи: Пользователи удаленного рабочего стола Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-556 Домен учетной записи: Builtin Старое имя учетной записи: Операторы настройки сети Новое имя учетной записи: Операторы настройки сети Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-547 Домен учетной записи: Builtin Старое имя учетной записи: Опытные пользователи Новое имя учетной записи: Опытные пользователи Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-558 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи системного монитора Новое имя учетной записи: Пользователи системного монитора Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-559 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи журналов производительности Новое имя учетной записи: Пользователи журналов производительности Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-562 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи DCOM Новое имя учетной записи: Пользователи DCOM Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-568 Домен учетной записи: Builtin Старое имя учетной записи: IIS_IUSRS Новое имя учетной записи: IIS_IUSRS Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-569 Домен учетной записи: Builtin Старое имя учетной записи: Криптографические операторы Новое имя учетной записи: Криптографические операторы Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-573 Домен учетной записи: Builtin Старое имя учетной записи: Читатели журнала событий Новое имя учетной записи: Читатели журнала событий Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-578 Домен учетной записи: Builtin Старое имя учетной записи: Администраторы Hyper-V Новое имя учетной записи: Администраторы Hyper-V Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-579 Домен учетной записи: Builtin Старое имя учетной записи: Операторы помощи по контролю учетных записей Новое имя учетной записи: Операторы помощи по контролю учетных записей Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-580 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи удаленного управления Новое имя учетной записи: Пользователи удаленного управления Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-581 Домен учетной записи: Builtin Старое имя учетной записи: Управляемая системой группа учетных записей Новое имя учетной записи: Управляемая системой группа учетных записей Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-583 Домен учетной записи: Builtin Старое имя учетной записи: Владельцы устройства Новое имя учетной записи: Владельцы устройства Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: Администратор Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x211 Новое значение UAC: 0x211 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: Администратор Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x211 Новое значение UAC: 0x211 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: Гость Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x215 Новое значение UAC: 0x215 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: Гость Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x215 Новое значение UAC: 0x215 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: DefaultAccount Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x215 Новое значение UAC: 0x215 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: DefaultAccount Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x215 Новое значение UAC: 0x215 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: WDAGUtilityAccount Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: 01.08.2021 16:28:37 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x11 Новое значение UAC: 0x11 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: WDAGUtilityAccount Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: 01.08.2021 16:28:37 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x11 Новое значение UAC: 0x11 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-513 Домен учетной записи: DESKTOP-F1CGCQV Старое имя учетной записи: Отсутствует Новое имя учетной записи: Отсутствует Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Администраторы Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Гости Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Операторы архива Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Репликатор Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи удаленного рабочего стола Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Операторы настройки сети Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Опытные пользователи Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи системного монитора Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи журналов производительности Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи DCOM Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: IIS_IUSRS Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Криптографические операторы Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Читатели журнала событий Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Администраторы Hyper-V Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Операторы помощи по контролю учетных записей Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи удаленного управления Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Управляемая системой группа учетных записей Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-583 Имя группы: Владельцы устройства Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-583 Имя группы: Владельцы устройства Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Владельцы устройства Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4737: Изменена глобальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-513 Имя группы: Отсутствует Домен группы: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:23 | | Microsoft-Windows-Security-Auditing | 4737: Изменена глобальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-513 Имя группы: Отсутствует Домен группы: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: Отсутствует Журнал SID: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:25 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe08 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:25 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe08 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:26 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4fbf3 Связанный ИД входа: 0x4fc19 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: WIN-LS355QA9R00 Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4fc19 Связанный ИД входа: 0x4fbf3 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: WIN-LS355QA9R00 Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x4fbf3 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4fc19 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4fc19 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4fc19 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4fc19 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2481 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4fc19 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2481 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4fc19 Сведения о процессе: Идентификатор процесса: 4476 Время создания процесса: 2021-08-01T13:30:27.3171728Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\defaultuser0\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2459 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4fc19 Сведения о процессе: Идентификатор процесса: 4476 Время создания процесса: 2021-08-01T13:30:27.3171728Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\defaultuser0\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4fc19 Сведения о процессе: Идентификатор процесса: 4476 Время создания процесса: 2021-08-01T13:30:27.3171728Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4fc19 Сведения о процессе: Идентификатор процесса: 4476 Время создания процесса: 2021-08-01T13:30:27.3171728Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4fc19 Сведения о процессе: Идентификатор процесса: 4476 Время создания процесса: 2021-08-01T13:30:27.3171728Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5404 Время создания процесса: 2021-08-01T13:30:27.5438164Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2459 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5404 Время создания процесса: 2021-08-01T13:30:27.5438164Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5404 Время создания процесса: 2021-08-01T13:30:27.5438164Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5404 Время создания процесса: 2021-08-01T13:30:27.5438164Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5404 Время создания процесса: 2021-08-01T13:30:27.5438164Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:30:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x98c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Операция шифрования: Операция: %%2481 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\SystemKeys\a3d57b0ed7a86fdaaae732d8762a3b6e_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2459 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\SystemKeys\a3d57b0ed7a86fdaaae732d8762a3b6e_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\SystemKeys\a3d57b0ed7a86fdaaae732d8762a3b6e_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\SystemKeys\a3d57b0ed7a86fdaaae732d8762a3b6e_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\SystemKeys\a3d57b0ed7a86fdaaae732d8762a3b6e_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\SystemKeys\a3d57b0ed7a86fdaaae732d8762a3b6e_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\SystemKeys\a3d57b0ed7a86fdaaae732d8762a3b6e_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\SystemKeys\a3d57b0ed7a86fdaaae732d8762a3b6e_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 3880 Время создания процесса: 2021-08-01T13:30:19.8887869Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: SCEPProtocolKey-40d46e94-f243-4eff-92dc-5b1231a86729 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\SystemKeys\a3d57b0ed7a86fdaaae732d8762a3b6e_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2457 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:30:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:31:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4fc19 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:31:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:31:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4720: Создана учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Новая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Атрибуты: Имя учетной записи SAM: Tsubasa Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x0 Новое значение UAC: 0x15 Управление учетной записью пользователя: %%2080 %%2082 %%2084 Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Privileges -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4722: Включена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: Tsubasa Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x15 Новое значение UAC: 0x14 Управление учетной записью пользователя: %%2048 Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: Tsubasa Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x14 Новое значение UAC: 0x214 Управление учетной записью пользователя: %%2089 Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: - Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4728: Добавлен член глобальной группы с включенной безопасностью. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Член: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: - Группа: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-513 Имя группы: Отсутствует Домен группы: DESKTOP-F1CGCQV Дополнительные сведения: Привилегии: - Время окончания срока действия: (null)
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4732: Добавлен член локальной группы с включенной безопасностью. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Член: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: - Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Дополнительные сведения: Привилегии: - Время окончания срока действия: (null)
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4732: Добавлен член локальной группы с включенной безопасностью. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Член: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: - Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Дополнительные сведения: Привилегии: - Время окончания срока действия: (null)
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4733: Удален член локальной группы с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Член: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: - Группа: Идентификатор безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:45 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x4fc19 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4fc19 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x111d8c Связанный ИД входа: 0x111dab Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe Сведения о сети: Имя рабочей станции: WIN-LS355QA9R00 Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: OOBE Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4fc19 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x111dab Связанный ИД входа: 0x111d8c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x16bc Имя процесса: C:\Windows\System32\CloudExperienceHostBroker.exe Сведения о сети: Имя рабочей станции: WIN-LS355QA9R00 Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: OOBE Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:31:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x111d8c Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:45 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x98c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x111dab Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x111d8c Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x4fc19 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4725: Отключена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Измененные атрибуты: Имя учетной записи SAM: defaultuser0 Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: 01.08.2021 16:30:19 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x214 Новое значение UAC: 0x211 Управление учетной записью пользователя: %%2080 %%2050 Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:53 | | Microsoft-Windows-Security-Auditing | 4733: Удален член локальной группы с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Член: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: - Группа: Идентификатор безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x120b45 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x120b45 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x120b45 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x120b45 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2481 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x120b45 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x120b45 Сведения о процессе: Идентификатор процесса: 4572 Время создания процесса: 2021-08-01T13:31:54.5903916Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2459 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x120b45 Сведения о процессе: Идентификатор процесса: 4572 Время создания процесса: 2021-08-01T13:31:54.5903916Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x120b45 Сведения о процессе: Идентификатор процесса: 4572 Время создания процесса: 2021-08-01T13:31:54.5903916Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x120b45 Сведения о процессе: Идентификатор процесса: 4572 Время создания процесса: 2021-08-01T13:31:54.5903916Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x120b45 Сведения о процессе: Идентификатор процесса: 4572 Время создания процесса: 2021-08-01T13:31:54.5903916Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xc98 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-2 Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host ИД входа: 0x11e596 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xc98 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-2 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xc98 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x11ebaf Связанный ИД входа: 0x11ebcb Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xc98 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x11ebcb Связанный ИД входа: 0x11ebaf Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xc98 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x120ace Связанный ИД входа: 0x120b45 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: WIN-LS355QA9R00 Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x120b45 Связанный ИД входа: 0x120ace Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: WIN-LS355QA9R00 Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host Код входа: 0xac7c Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x11ebaf Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x11ebcb Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x120ace Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:31:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x98c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 16:31:55 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10558 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 16:31:55 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10545 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:31:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:31:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:57 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:57 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:57 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:57 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:57 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:31:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:32:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:32:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:32:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:32:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:32:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:32:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:32:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:32:12 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x237c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:32:12 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x237c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:32:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:32:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:32:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:32:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:33:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:33:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:16 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:22 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:22 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:33:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x120b45 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 103 | 2021-08-01 16:34:05 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 16:34:05 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x120b45 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: WIN-LS355QA9R00$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:18 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:18 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:18 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x178 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:18 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x18c Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x178 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 16:34:18 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1e4 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x178 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1fc Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1e4 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x250 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x178 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x258 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1e4 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x260 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x250 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xa9a0 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x258 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xa99f Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x258 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1063d Связанный ИД входа: 0x10661 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10661 Связанный ИД входа: 0x1063d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1063d Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10661 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2a0 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x258 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c0 Имя нового процесса: ????????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x250 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e0 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x258 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:34:21 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xa7a0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x34c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xbec Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xbec Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xebc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:34:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xebc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Связанный ИД входа: 0x3e38c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e38c Связанный ИД входа: 0x3e35b Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3e35b Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3e38c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3e38c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3e38c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:34:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x540 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:34:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3e38c Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:34:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:34:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3e38c Сведения о процессе: Идентификатор процесса: 4664 Время создания процесса: 2021-08-01T13:34:23.8241849Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:34:24 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3e38c Сведения о процессе: Идентификатор процесса: 4664 Время создания процесса: 2021-08-01T13:34:23.8241849Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:34:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 3508 Время создания процесса: 2021-08-01T13:34:24.0300919Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:34:24 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 3508 Время создания процесса: 2021-08-01T13:34:24.0300919Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:34:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1a54 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:34:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1a54 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:28 | | Microsoft-Windows-Security-Auditing | 4726: Удалена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3e35b Целевая учетная запись: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-F1CGCQV Дополнительные сведения: Privileges -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:34:28 | | Microsoft-Windows-Security-Auditing | 4733: Удален член локальной группы с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3e35b Член: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: - Группа: Идентификатор безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:34:28 | | Microsoft-Windows-Security-Auditing | 4729: Удален член глобальной группы с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3e35b Член: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1000 Имя учетной записи: - Группа: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-513 Имя группы: Отсутствует Домен группы: DESKTOP-F1CGCQV Дополнительные сведения: Привилегии: -
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:34:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x540 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:34:30 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0x478 Сведения о процессе: Идентификатор процесса: 0x1de0 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:34:30 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0x438 Сведения о процессе: Идентификатор процесса: 0x1de0 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:34:30 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Идентификатор дескриптора: 0x418 Сведения о процессе: Идентификатор процесса: 0x1de0 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:34:31 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_winbioplugins_071a28c5b510fb6a.cdf-ms Идентификатор дескриптора: 0x424 Сведения о процессе: Идентификатор процесса: 0x1de0 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:34:31 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_winbioplugins_facedriver_1cf62c11bac4d1af.cdf-ms Идентификатор дескриптора: 0x424 Сведения о процессе: Идентификатор процесса: 0x1de0 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:34:31 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_winbioplugins_facedriver_amd64_a24e7f3c1523e31d.cdf-ms Идентификатор дескриптора: 0x470 Сведения о процессе: Идентификатор процесса: 0x1de0 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:34:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:34:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:38 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3e38c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3e38c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3e38c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:34:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3e38c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 16:35:14 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3e38c Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x1d50 Имя процесса вызывающей стороны: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:35:14 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e38c Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1d50 Имя процесса: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:35:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:35:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:16 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:16 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3e35b Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2010 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:35:24 | | Microsoft-Windows-Security-Auditing | 4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x1da373
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:35:24 | | Microsoft-Windows-Security-Auditing | 4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x53c Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x1da373
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:35:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:35:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:35:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:35:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:35:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:35:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:35:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:35:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:39 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f18 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:35:39 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f18 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:35:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:35:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:35:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:35:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:36:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1cbc Имя процесса: C:\Program Files (x86)\Microsoft\EdgeUpdate\Install\{072D0C98-2FE6-48A5-81DC-DD78E8951955}\EDGEMITMP_72D80.tmp\setup.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:36:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:36:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:36:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:36:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:36:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:36:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:36:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:36:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 16:38:45 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3e38c Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:38:46 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:38:46 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:38:46 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:38:46 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:38:46 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 103 | 2021-08-01 16:38:48 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:00 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:00 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:00 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1a4 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:00 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1a4 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 16:39:00 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:01 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x208 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1a4 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:01 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x220 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x208 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x274 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1a4 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x27c Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x208 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x284 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x274 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c4 Имя нового процесса: ????????????????-??6??c????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e4 Имя нового процесса: ????????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x274 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:39:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x304 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x27c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xaa6c Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xaa6d Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x27c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1075b Связанный ИД входа: 0x1078c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1078c Связанный ИД входа: 0x1075b Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1075b Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1078c Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:39:03 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xa871
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x3ac Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe18 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe18 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe6c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe6c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x37b61 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x37b61 Сведения о процессе: Идентификатор процесса: 4712 Время создания процесса: 2021-08-01T13:39:05.2962057Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x37b61 Сведения о процессе: Идентификатор процесса: 4712 Время создания процесса: 2021-08-01T13:39:05.2962057Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4192 Время создания процесса: 2021-08-01T13:39:05.5992113Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4192 Время создания процесса: 2021-08-01T13:39:05.5992113Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x644 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x37aaf Связанный ИД входа: 0x37b61 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x644 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x37b61 Связанный ИД входа: 0x37aaf Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x644 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x37aaf Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca0 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca0 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:22 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x37b61 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1198 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1198 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1198 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1198 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1198 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1198 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1198 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:39:36 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1198 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 16:39:58 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x37b61 Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x20cc Имя процесса вызывающей стороны: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:39:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:39:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:39:58 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x37b61 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x20cc Имя процесса: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:40:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:40:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:40:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x940 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:40:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x940 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:40:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:40:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:40:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:40:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 103 | 2021-08-01 16:40:47 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 16:40:47 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x37b61 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:40:47 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x644 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:40:47 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x644 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:40:47 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x644 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:40:47 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x644 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:40:47 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x644 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:40:59 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:40:59 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:40:59 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1ac Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:40:59 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1c0 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1ac Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 16:40:59 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:41:00 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x208 Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1ac Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:41:00 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x21c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x208 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:41:01 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x274 Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1ac Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:41:01 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x27c Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x208 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:41:01 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x284 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x274 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:41:01 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c4 Имя нового процесса: ????????????????-??6??c????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:41:01 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d8 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:41:01 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x30c Имя нового процесса: ????????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x274 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x27c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xaa75 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x27c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x30c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xaa74 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x30c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10709 Связанный ИД входа: 0x1072d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1072d Связанный ИД входа: 0x10709 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10709 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1072d Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:41:02 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xa878
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd40 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd40 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x36a5d Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x36a5d Сведения о процессе: Идентификатор процесса: 4660 Время создания процесса: 2021-08-01T13:41:04.5021560Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x36a5d Сведения о процессе: Идентификатор процесса: 4660 Время создания процесса: 2021-08-01T13:41:04.5021560Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 3112 Время создания процесса: 2021-08-01T13:41:04.7818822Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 3112 Время создания процесса: 2021-08-01T13:41:04.7818822Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x56c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x368cc Связанный ИД входа: 0x36a5d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x56c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x36a5d Связанный ИД входа: 0x368cc Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x56c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x368cc Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x33c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xeb0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xeb0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4b4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x13f4 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x13f4 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:41:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:41:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:41:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:41:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:41:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:41:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:41:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:41:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:41:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:41:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2678 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2678 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2678 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2678 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2678 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2678 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2678 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:41:43 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2678 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:41:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:41:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 16:42:00 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x36a5d Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x1f8c Имя процесса вызывающей стороны: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:42:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x36a5d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1f8c Имя процесса: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:42:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:42:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:42:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:42:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:42:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:42:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:42:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:42:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:42:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:42:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:42:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:42:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:42:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:42:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:42:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:42:25 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x236c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:42:25 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x236c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:42:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:42:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:42:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:42:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:42:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:42:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:42:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:42:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:42:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:42:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:43:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:43:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:43:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:43:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x36a5d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:43:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:43:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:43:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0xcb0 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0xcac Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_3296b36dbe4c7fa3.cdf-ms Идентификатор дескриптора: 0xcb4 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_083d4e330e766c5d.cdf-ms Идентификатор дескриптора: 0xabc Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_46321ba736a30085.cdf-ms Идентификатор дескриптора: 0xcbc Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_wpf_647a02df72a14032.cdf-ms Идентификатор дескриптора: 0xcac Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_wpf_fonts_0428e0346460ac4c.cdf-ms Идентификатор дескриптора: 0xca8 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_wpf_en-us_0242687c673a608c.cdf-ms Идентификатор дескриптора: 0xcc4 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_nativeimages_ae465c5139d1dacc.cdf-ms Идентификатор дескриптора: 0xcc0 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_83386eac0379231b.cdf-ms Идентификатор дескриптора: 0xcb8 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_c40c7a995ddd757b.cdf-ms Идентификатор дескриптора: 0xca8 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_wpf_bc1339ef8efa3c4c.cdf-ms Идентификатор дескриптора: 0xcc0 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_wpf_fonts_dc62106d96619a3c.cdf-ms Идентификатор дескриптора: 0x8b4 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_wpf_en-us_dc5fd125966afabc.cdf-ms Идентификатор дескриптора: 0xcc0 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_nativeimages_7f83bd6ed8241f3a.cdf-ms Идентификатор дескриптора: 0x8b4 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_windowsbase_v4.0_4.0.0.0_31bf3856ad364e35_5764ca98829cd598.cdf-ms Идентификатор дескриптора: 0xcc4 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_uiautomationtypes_v4.0_4.0.0.0_31bf3856ad364e35_1f12bec8f88f4450.cdf-ms Идентификатор дескриптора: 0xcc0 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_uiautomationprovider_v4.0_4.0.0.0_31bf3856ad364e35_6bb637099f04ee2c.cdf-ms Идентификатор дескриптора: 0xcc4 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_uiautomationclientsideproviders_v4.0_4.0.0.0_31bf3856ad364e35_6944991d7b306f0d.cdf-ms Идентификатор дескриптора: 0xcc8 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_uiautomationclient_v4.0_4.0.0.0_31bf3856ad364e35_35816ba0d06901c4.cdf-ms Идентификатор дескриптора: 0xcd0 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system.xaml_v4.0_4.0.0.0_b77a5c561934e089_6747aba031bff5b1.cdf-ms Идентификатор дескриптора: 0xcb8 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system.windows.forms_v4.0_4.0.0.0_b77a5c561934e089_7780f78ea9286b2d.cdf-ms Идентификатор дескриптора: 0xcd4 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system.windows.controls.ribbon_v4.0_4.0.0.0_b77a5c561934e089_f0c023acb7bafe74.cdf-ms Идентификатор дескриптора: 0xcd0 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system.drawing_v4.0_4.0.0.0_b03f5f7f11d50a3a_039c32879a6fdb19.cdf-ms Идентификатор дескриптора: 0xabc Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system.core_v4.0_4.0.0.0_b77a5c561934e089_18d3047bb5729e36.cdf-ms Идентификатор дескриптора: 0xcb8 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system_v4.0_4.0.0.0_b77a5c561934e089_4348a29e5981af79.cdf-ms Идентификатор дескриптора: 0xcb0 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_presentationframework-systemdata_v4.0_4.0.0.0_b77a5c561934e089_89b90455552a8828.cdf-ms Идентификатор дескриптора: 0xce0 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:44:26 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_presentationframework_v4.0_4.0.0.0_31bf3856ad364e35_b57a3b1abb4f9cb2.cdf-ms Идентификатор дескриптора: 0xcb8 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:44:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:44:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:44:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:44:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:44:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:44:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:44:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:44:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:44:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:45:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:45:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0x630 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0x9b8 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_21ffbdd2a2dd92e0.cdf-ms Идентификатор дескриптора: 0x630 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_advancedinstallers_0c6bb4866bff02f7.cdf-ms Идентификатор дескриптора: 0x550 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Идентификатор дескриптора: 0xb14 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_advancedinstallers_dfe2cf200b391371.cdf-ms Идентификатор дескриптора: 0x550 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_fc2045b9046cc796.cdf-ms Идентификатор дескриптора: 0x6d4 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_version_10.0.19041.1145_887f3fcb8d1c6777.cdf-ms Идентификатор дескриптора: 0x328 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_sqm_51d9d5f9de5a2fa5.cdf-ms Идентификатор дескриптора: 0x630 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_sessions_5591aee9e2456a35.cdf-ms Идентификатор дескриптора: 0xb34 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_packages_46c20bc5f833cc43.cdf-ms Идентификатор дескриптора: 0xb14 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_logs_cbs_10a752bcbbaee88b.cdf-ms Идентификатор дескриптора: 0x328 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\poqexec.exe Идентификатор дескриптора: 0xdf0 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:45:23 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\poqexec.exe Идентификатор дескриптора: 0xb14 Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:46:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:46:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:49:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 16:49:32 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x36a5d Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:49:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:49:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x56c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:49:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x56c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:49:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x56c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:49:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x56c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:49:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x56c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:49:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:49:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:51:17 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ff8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ff8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ff8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ff8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ff8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ff8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ff8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:52:56 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ff8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:52:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:52:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\EFI\boot.stl Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\EFI\bootmgfw.efi Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\EFI\bootmgr.efi Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\EFI\memtest.efi Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\PCAT\bootmgr Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\PCAT\memtest.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\INF\wfplwfs.inf Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AgentService.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppVClient.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\autochk.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\BFE.DLL Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cdd.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ci.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\FWPUCLNT.DLL Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\hal.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IKEEXT.DLL Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\iphlpsvc.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\KerbClientShared.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\lsasrv.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Uev.AgentDriverEvents.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ntdll.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ntoskrnl.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\offlinelsa.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\securekernel.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\skci.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\smss.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tcblaunch.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tcbloader.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winload.efi Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winload.exe Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winresume.efi Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winresume.exe Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Boot\winresume.efi Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Boot\winresume.exe Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CodeIntegrity\driver.stl Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\afd.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\AppVStrm.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\AppvVemgr.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\AppvVfs.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\bowser.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\clfs.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\cng.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\dam.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\dumpfve.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\dxgkrnl.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\dxgmms1.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\dxgmms2.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\EhStorClass.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\exfat.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\fltMgr.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\fvevol.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\FWPKCLNT.SYS Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\iorate.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ksecpkg.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\mrxsmb.sys Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\mrxsmb20.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\msrpc.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\mssecflt.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ndis.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ndiswan.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\netio.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ntfs.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\partmgr.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\pdc.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\refs.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\scsiport.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\storport.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\tcpip.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\UevAgentDriver.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\Wdf01000.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\WdfLdr.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\wfplwfs.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\autochk.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\KerbClientShared.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ntdll.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_waas_401032e7a18c2040.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_waas_services_ddfc4ae175ff1678.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_vss_3f582555a4c8be22.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_vss_writers_08335f148b847d02.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_vss_writers_system_e29eb58bafd8a559.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_21ffbdd2a2dd92e0.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_zh-cn_c63f31ac3bbd74ba.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_winmetadata_047140633426c833.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_windowspowershell_v1.0_19ae85881f1c4f2d.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_windowspowershell_v1.0_modules_b001352a7f7811a4.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_windowspowershell_v1.0_modules_windowsupdate_456cbc9f3764ca02.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_windowspowershell_v1.0_modules_uev_85ae9894702fab2e.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_windowspowershell_v1.0_modules_scheduledtasks_1fe822c55d027d5f.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_windowspowershell_v1.0_modules_provisioning_a90c2174ca14f6c9.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_windowspowershell_v1.0_modules_netsecurity_580a709899c2e5ed.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_windowspowershell_v1.0_modules_configci_10d2a1a7f9d9bb92.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_windowspowershell_v1.0_modules_branchcache_dbfd5dc74f864408.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_windowspowershell_v1.0_modules_appvclient_6909a212b041e3a8.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_wbem_1bf25d11bb30b33f.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_wbem_xml_3f8ffc24c43a2ff4.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_uk-ua_bcbec29049fe1bc7.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_tr-tr_bad86a404cd7a0fb.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_sr-latn-rs_f675dc9d3d7875cf.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_spp_tokens_skus_csvlk-pack_a04c4b36b1c86210.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_spp_tokens_pkeyconfig_b2fdf59e46c165ae.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_speech_onecore_voiceactivation_64af56b9bf516892.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_speech_onecore_common_3ac1627a1b848769.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_speech_engines_tts_44a2fb68bc2a57e0.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_sl-si_b8f1e2684fb16c1c.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_sk-sk_b8f1e6584fb16619.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_setup_b8f1f0fc4fb15499.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_ru-ru_b70b8052528b002f.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_recovery_359f81e4d381fca3.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_pt-br_b33e8b90583e6f27.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_pl-pl_b33e814c583e7dc3.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_oobe_1bf24c07bb30ce37.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_nl-nl_af7192185df1e48f.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_migration_bdcfa47e8790e0c4.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_macromed_flash_853cbcf10f17f618.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_lv-lv_aba4b47863a5320b.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_lt-lt_aba4b0f463a5371b.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_logfiles_sam_5371e95113e53c10.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_licenses_neutral_volume_professional_81e94ea00d535798.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_licenses_neutral_oem_professional_4d95b036a354f599.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_licenses_neutral_default_professional_2a2c080b72ab118c.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_keywords_287e3848e6b7ce36.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_it-it_a5f14a266c32514d.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_installshield_b5853d7fd6c30e20.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_he-il_a40ac5786f0c16bd.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_fr-fr_a03ddfd474bf708f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_fr-ca_a03dbf8e74bfa0f5.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_et-ee_9e574f447799499c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_driverstore_9d5a0097549f0abb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_drivers_193c6528ad70a5e7.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_dism_1bf2381fbb30eb13.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_ar-sa_96bd698c83002208.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_applocker_9faecc9d3543428d.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_0307ca33e1cd9708.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.shellcommon_0eb1b891774fd848.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.shellcommon_devicesflowui_fonts_f1a73aa6a3f2ec91.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.shellcommon_clockflyoutexperience_7ce6d31c57740cd3.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.shellcommon_clockflyoutexperience_assets_15857ed2e840b8f6.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.shellcommon_clockflyoutexperience_assets_fonts_3fa5855c97ee0980.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingshandlers-nt_7298028ee386990a.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingshandlers-nt_pris_71a69ceed5129daa.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsappthreshold_0b97cbddb6bef8ee.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsappthreshold_systemsettings_6f826ed139dc38ac.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsappthreshold_systemsettings_assets_b04b2dbada91ba13.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsappthreshold_systemsettings_assets_fonts_e1429b15bb7a603f.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsappthreshold_pris_c69f4420e8b9ac96.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsadminflowuithreshold_80571585edc0bc10.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsadminflowuithreshold_systemsettingsthresholdadminflowui_a2baca8046478552.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsadminflowuithreshold_systemsettingsthresholdadminflowui_assets_5ec4ff00d0d98653.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsadminflowuithreshold_systemsettingsthresholdadminflowui_assets_45f5e040701cd097.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsadminflowuithreshold_pris_8eb5d62ebc93ca12.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.logon_ed8ece16fb61b4e6.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.parentalcontrolssettings_17e5c3595e118a55.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.parentalcontrolssettings_images_c0abb9832f16a4ad.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.management.autopilotresources_6cb9ff52085b35f4.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.management.autopilotresources_pris_5aaecd275f362302.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_shellcomponents.switcher_5e79548f3d2c4397.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_shellcomponents.switcher_pris_94c471057dd46b83.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_shellcomponents_ef2e86c7db17ea16.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_shellcomponents_timelineui_0c27ba1219a6e41b.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_shellcomponents_pris_dff16390a591c0b8.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_microsoft.windows.sechealthui_5bb2238b2acc9da0.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_microsoft.windows.sechealthui_pris_0302f8ba338f56e0.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_windows.cbspreview_cw5n1h2txyewy_22550f63a4546e7d.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_shellexperiencehost_cw5n1h2txyewy_e21c90d9487ed242.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_shellexperiencehost_cw5n1h2txyewy_pris_3818bc2422f945c8.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_shellexperiencehost_cw5n1h2txyewy_assets_7b05f0549cbec22d.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_parentalcontrols_cw5n1h2txyewy_279dce154aea2ac9.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_parentalcontrols_cw5n1h2txyewy_pris_dce7f2ada50375cf.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_parentalcontrols_cw5n1h2txyewy_assets_a55aa1bc343589de.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_ncsiuwpapp_8wekyb3d8bbwe_9755e557b5c19fb1.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_ncsiuwpapp_8wekyb3d8bbwe_pris_960d7e855e108c1b.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_ncsiuwpapp_8wekyb3d8bbwe_assets_224604415da008f6.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.undockeddevkit_cw5n1h2txyewy_77a329df185f5721.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_da484f523662e470.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_screenclipping_807d4ebff2f5c7b4.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_screenclipping_screenclipping_6fe9167b23648d3a.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_screenclipping_screenclipping_assets_6c4152be17b5f9d3.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_screenclipping_screenclipping_assets_sounds_e18e7a64d7b2bdc7.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_screenclipping_screenclipping_assets_fonts_4ae7d45101bec9a1.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_screenclipping_assets_1496f026de9c54a1.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_pris_07f2444136ecbb7a.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_irisservice_d21869ac19d9607c.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_inputapp_2e34c2b1522dcef5.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_inputapp_inputapp_05d9c76fbd2ec310.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_inputapp_inputapp_assets_449a73b3bb876317.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_inputapp_inputapp_assets_ninja_2d442cc31acccb4b.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_inputapp_inputapp_assets_fonts_2e648423184414d5.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_inputapp_assets_2da43068333158be.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_inputapp_assets_ninja_d45b4e66728b3a3e.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_inputapp_assets_fonts_c527b2ea8958a424.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_inputapp_assets_dictation_39a0f8a370b329c3.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_assets_636244f24a04b545.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoftwindows.client.cbs_cw5n1h2txyewy_appxmetadata_76835224a6509a72.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_f20e4c4d4e876b3f.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.xgpuejectdialog_cw5n1h2txyewy_6f3e12c2a894df22.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.startmenuexperiencehost_cw5n1h2txyewy_d32a9d6ca3506cf2.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.secureassessmentbrowser_cw5n1h2txyewy_5c9bcd2fbb5568e6.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.sechealthui_cw5n1h2txyewy_8cdc4a2b89a0ce24.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.sechealthui_cw5n1h2txyewy_pris_1e3a1ba250c479fa.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.sechealthui_cw5n1h2txyewy_assets_2c72493351d74c03.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.sechealthui_cw5n1h2txyewy_assets_fonts_6ccf17025b49a9e7.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.search_cw5n1h2txyewy_ab79f6eb1dc17af5.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.search_cw5n1h2txyewy_pris_64363bbbf72dd541.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.pinningconfirmationdialog_cw5n1h2txyewy_46d0147d9d0e7625.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.peopleexperiencehost_cw5n1h2txyewy_f7fd95c23bab9f94.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_80e99b2c380ce386.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_e1ee1f244749a46e.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.narratorquickstart_8wekyb3d8bbwe_aa4229d57e07074a.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.filepicker_cw5n1h2txyewy_7f0cdb3cdcf67613.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.filepicker_cw5n1h2txyewy_pris_b04c47d5ff5f14ed.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.filepicker_cw5n1h2txyewy_assets_fb9af0810a32fb5e.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.fileexplorer_cw5n1h2txyewy_4a81d77affb96b12.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.contentdeliverymanager_cw5n1h2txyewy_6369fdd3e5ab0989.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.contentdeliverymanager_cw5n1h2txyewy_images_f48d365ca6bf839f.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_e92250ef2519d1f6.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_0c3414e5ea9b964c.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_unifiedenrollment_608128e0971fe102.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_unifiedenrollment_views_ab3b53e7951674ac.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_unifiedenrollment_js_c50fa6bbbb7c87b1.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_templates_2902e194c40c2d99.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_templates_view_fa144ce8b696a5f6.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_templates_js_30c977d57667d018.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_surfacehubdeviceuser_40a8494b26aff035.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_surfacehubdeviceuser_view_878bf08afd4f7608.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_surfacehubdeviceuser_js_b837e3558be51686.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_scoobe_47e577bfb89f66ff.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_scoobe_view_ffe5b70b18357b66.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_scoobe_media_2e29d64a701c210b.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_scoobe_js_2be3c432c2ce3ede.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_scoobe_js_common_5c49fd1a5570d1f3.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusivesspr_d9ae0f7fd2cccc94.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusivesspr_view_a30cd40228c98533.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusivesspr_js_04768872769d851d.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_d9ae09c5d2ccd3fb.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_view_9d516b3c2e3e1a84.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_view_templat_72e2a4dd8431fbed.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_view_autopil_c15d914491ef8c5d.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_media_fff1539a1a4e3fb7.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_js_fed525f87d913b20.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_js_common_9b35fdf5c98f69bb.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_js_autopilot_7c3101fe157db81d.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_css_9d5145ddb46283ae.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_hololensdiagnostics_views_d5eef763b212983a.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_hololensdiagnostics_js_8c1a5a20ff89a7b5.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_enterprisengcenrollment_82255765359ba571.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_enterprisengcenrollment_vi_7e71e645381609fd.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_enterprisengcenrollment_js_c58adfa13ec3cacc.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_antitheft_24a5fefd01d630ef.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_antitheft_views_c7398a706c782c0f.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_antitheft_js_08cf6efb11d0da96.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_views_f55d581a0acbb522.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_f55759080d09bc14.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_4009_f24be8641cd5eaeb.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_1009_f24be8d01cd5e9f8.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0c0c_f24bfc161cd5cc82.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0c0a_f24bf84a1cd5d234.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0c09_f24be91a1cd5e8fc.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_080a_f24bf8341cd5d297.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0809_f24be9041cd5e95f.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0804_f24bdf861cd5f79c.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0416_f24be34a1cd5f20f.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0411_f24bd9cc1cd6004c.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0410_f24bd7e61cd60325.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_040c_f24bfbf81cd5cd09.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0409_f24be8fc1cd5e983.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0407_f24be5301cd5ef35.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_retaildemo_d6007de2c4449ca2.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_pris_4436110b27fc8d08.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_microsoft.winjs-reduced_36e69b3b0e7ecf70.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_microsoft.winjs-reduced_js_c3e6a46e6987d93b.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_microsoft.winjs-reduced_css_1f290cb460a43b49.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_media_f54b539a0b1cc81a.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_lib_b0f47f90f3500a51.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_js_91283bc423026fc5.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_images_f5434c400d60dd7c.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_fonts_f53d61bc0b5bbe04.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_data_4436285d27fc685e.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_data_prod_c85cee3a7af640ef.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_css_b0f49fc4f34fda43.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_443623ff27fc6f6b.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_view_c303ad0c866a9c46.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_js_2a738435bdbe8f70.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_js_applaunchers_de40849bf361043c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.capturepicker_cw5n1h2txyewy_a6a11caf60726833.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.callingshellapp_cw5n1h2txyewy_c0246e5a4e3e550c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.assignedaccesslockapp_cw5n1h2txyewy_29da24b0fd93bf69.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.appresolverux_cw5n1h2txyewy_b9e567f99535ffbf.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.apprep.chxapp_cw5n1h2txyewy_f66b8c80bd9c0bf7.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.addsuggestedfolderstolibrarydialog_cw5n1h2txyewy_42e3ddae53f1a7cc.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.win32webviewhost_cw5n1h2txyewy_dc7f0351d4ad5d00.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_9e9a8bf16c9ce6fb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_43d095bdcce4e130.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.lockapp_cw5n1h2txyewy_6f26550558264bb4.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.ecapp_8wekyb3d8bbwe_ac10c70bb3589f82.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.creddialoghost_cw5n1h2txyewy_eb70173831f35b36.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.bioenrollment_cw5n1h2txyewy_0e6f6a5d1f5a1430.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.asynctextservice_8wekyb3d8bbwe_3d79f655ade1fc1f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.accountscontrol_cw5n1h2txyewy_fc38de406c5c8223.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.aad.brokerplugin_cw5n1h2txyewy_d48a5fb790740a92.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.aad.brokerplugin_cw5n1h2txyewy_pris_8c9cc4e4b2c16ab2.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.aad.brokerplugin_cw5n1h2txyewy_css_af32787f971fc4dd.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.aad.brokerplugin_cw5n1h2txyewy_assets_4318eb5d347aa2b1.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_zh-cn_6a8499504900c466.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_winmetadata_0c48e99293678cff.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_winevt_39519e6af36cf6a7.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_windowspowershell_v1.0_3f102d555ee05d33.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_windowspowershell_v1.0_modules_a349059b05097caa.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_windowspowershell_v1.0_modules_windowsupdate_f5f9c8b88a63903a.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_windowspowershell_v1.0_modules_uev_36c96168b9ff01a8.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_windowspowershell_v1.0_modules_startlayout_89ada30b656c9d28.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_windowspowershell_v1.0_modules_scheduledtasks_bfe47342c8da5f0b.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_windowspowershell_v1.0_modules_provisioning_59992d8d97512395.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_windowspowershell_v1.0_modules_netsecurity_1f2dcf39815a9f67.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_windowspowershell_v1.0_modules_configci_b363508fc8c99bc6.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_windowspowershell_v1.0_modules_branchcache_a320bc68371dfd82.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_winbioplugins_071a28c5b510fb6a.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_winbioplugins_facedriver_1cf62c11bac4d1af.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_winbioplugins_facedriver_amd64_a24e7f3c1523e31d.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_winbiodatabase_8ca29eba075c22c3.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_wbem_06656d9fdf2f8577.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_wbem_xml_026f0f207227ebbc.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_wbem_ru-ru_438138a6b5df4494.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_unp_06656839d047b419.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_uk-ua_61042a3457416b73.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_tr-tr_5f1dd1e45a1af0a7.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_tasks_5f1dd67a5a1ae70e.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_tasks_microsoft_b7abd682baafefc2.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_tasks_microsoft_windows_a67c0a7b7fef87b3.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_tasks_microsoft_windows_taskscheduler_2a138755a33c530b.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_systemresetplatform_14fecc2716acccef.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_sr-latn-rs_36d1e04b1e65a349.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_skus_serverrdsh_59647a09f002b541.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_skus_professionalworkstation_7ab478a3d1f596f9.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_skus_professionalsinglelanguage_d9d84093a75f0740.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_skus_professionaleducation_26986f1f25caf246.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_skus_professionalcountryspecific_6cbf9678f9f9bb86.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_skus_professional_a933d9880344b1b8.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_skus_iotenterprise_22e013631613af56.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_skus_enterprise_bc64f038d2d7a6d4.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_skus_education_eb248cb951678951.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_skus_csvlk-pack_7cc2fe5a710dd58a.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_pkeyconfig_d8fc0830c525895a.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_store_2.0_774a618ff1521716.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_plugin-manifests-signed_d1e9d31c180bebd2.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spool_servers_02b04ba79d79f697.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spool_prtprocs_x64_bfba530a0f4e6934.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spool_printers_420476df024372d2.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spool_drivers_f1780fdbb7b569a2.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_speech_onecore_voiceactivation_57f72a0344e2d398.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_speech_onecore_common_60bf750299e8ab15.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_speech_engines_tts_181a16025b64685a.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_sl-si_5d374a0c5cf4bbc8.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_sk-sk_5d374dfc5cf4b5c5.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_setup_5d3758a05cf4a445.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_ru-ru_5b50e7f65fce4fdb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_recovery_f87e94e0816fb86b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_pt-pt_5783f7006581b92f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_pt-br_5783f3346581bed3.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_pl-pl_5783e8f06581cd6f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_openssh_f142c5dc07dcf27a.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_oobe_06655c95df2fa06f.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_nl-nl_53b6f9bc6b35343b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_nb-no_53b700d66b352886.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_migwiz_2650d8d30fee1fe9.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_migwiz_dlmanifests_f1386c432966667b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_migwiz_dlmanifests_microsoft-windows-wmi-core_0fa6ec0ad029fddb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_migration_927a21df1acd7c18.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_macromed_flash_5ff3bc7496f0271e.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_lv-lv_4fea1c1c70e881b7.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_lt-lt_4fea189870e886c7.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_logfiles_sam_5b4992809d2e7248.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_logfiles_firewall_488be49cc4415d55.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_logfiles_cloudfiles_4f1ca5d4f4bf5aad.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_licenses_neutral_volume_professional_7a83c2f800cfb9d0.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_licenses_neutral_oem_professional_3cf2af13e10f52ed.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_licenses_neutral_default_professional_88d58373f32b5992.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_keywords_eb5d4b4494a589fe.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_it-it_4a36b1ca7975a0f9.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_he-il_48502d1c7c4f6669.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_grouppolicyusers_dc4bf95b336ab265.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_grouppolicy_8e35dabe44804e33.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_fr-fr_448347788202c03b.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_fr-ca_448327328202f0a1.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_et-ee_429cb6e884dc9948.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_es-es_429cd1a084dc7119.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_en-us_429cd25484dc6f94.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_driverstore_a531a9c6b3dfcf87.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_driverstore_ru-ru_0f68c090b50683b8.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_drivers_dc1b782427b5ee1b.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_drivers_ru-ru_646d299e39ab4c16.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_dism_066548addf2fbd4b.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_ddfs_06654947df2fbc31.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_codeintegrity_e9af9308cfc26dc2.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_codeintegrity_tokens_staged_5ed4ee4981241ad6.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_codeintegrity_tokens_active_613b86cd7c09d968.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_codeintegrity_cipolicies_staged_276d48e6ef8844ae.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_codeintegrity_cipolicies_internal_c92a000dc3e74fc1.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_codeintegrity_cipolicies_active_29d3e16aea6e0340.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_boot_06654401df2fc50e.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_bg-bg_3ce955ba8d69a9ab.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_ar-sa_3b02d130904371b4.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_appv_066541f9df2fc831.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_appraiser_59bebec9f06db09b.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_applocker_745949fdc87fdde1.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system_4c3aa2308f9f8f41.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system_speech_00e1f005eaf69ef5.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_speech_3b206622a946e834.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_speech_engines_8a294d630e90192b.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_speech_engines_tts_4e06b8e5aea05fb6.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_speech_engines_tts_en-us_5bd3d35b5669eef6.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_shellcomponents_dea969d8d78d1fee.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_fc2045b9046cc796.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_ru-ru_60bf256070d63539.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_editions_596ea20ddafb9f7d.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_schemas_9f2c881475a483d6.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_schemas_codeintegrity_28b32c0f4161f4ca.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_schemas_codeintegrity_examplepolicies_83fa074d09c5bf54.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_schcache_f995a5d4decb8cc0.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_ru-ru_40105bada1ddf52d.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_remotepackages_a62bd8dd89fea431.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_remotepackages_remotedesktops_873149a9e18f9d12.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_remotepackages_remoteapps_d27fb1f10021e565.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_provisioning_cc9458acec1840ff.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_provisioning_packages_e07c8f8a91f541c4.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_provisioning_cosa_b2feb78251a8a259.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_provisioning_cosa_microsoft_77338a94bd8669dd.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_provisioning_autopilot_705495c13beba2f8.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_printdialog_af71281e89102b83.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_policydefinitions_89130cdfc4d9c27c.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_policydefinitions_ru-ru_3947e28191bee0bf.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_pla_rules_0bde462ce96f215e.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_pla_reports_a2604845b2b380ca.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_livekernelreports_13126bbee8c1252a.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_l2schemas_d7bb5637381de58c.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_installer_0d1280e2e633dc00.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_3f581daba4c8c835.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_wsearchidxpi_a2c41dc1731a4204.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_wsearchidxpi_0000_2e6e3f1caf9fca20.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_ugthrsvc_9c5b081f28f83f11.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_ugthrsvc_0000_8451c300df70be5f.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_ugatherer_9f1f9c5b6cd50d98.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_ugatherer_0000_046b5203f9ca3f14.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_termservice_f0fb244350031192.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_termservice_0000_f96d5ce56bc76fc8.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_immersivecontrolpanel_1e6ccf0e6a91b570.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_immersivecontrolpanel_systemsettings_d76332102e6a9a22.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_immersivecontrolpanel_systemsettings_view_34ee44a07ef70449.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_immersivecontrolpanel_systemsettings_assets_6ba5b2461d9725af.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_immersivecontrolpanel_settings_08eec740d2195455.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_immersivecontrolpanel_ru-ru_81ee2cd677c35139.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_immersivecontrolpanel_pris_a05890fcf353f1d8.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_immersivecontrolpanel_images_2e6232377292b2dc.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_globalization_0fc22903a221b67f.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_globalization_time_zone_08f498d155d3913e.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_globalization_icu_0b932b2a9cc9f858.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_fonts_40104ba9a1d20dac.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_diagtrack_0600d0deecd2b5a2.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_diagtrack_settings_56f8a3f40ce5a801.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_diagtrack_scenarios_ce5f6e43b7ab3f41.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_diagnostics_e6d66275c6e4d14a.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_diagnostics_system_d78913b7f0741b59.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_diagnostics_system_pcw_2115168e47eaddb7.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_diagnostics_index_6f9ad1a80c4f7ad6.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_containers_serviced_07c9b2b35f82b615.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_branding_1728f5d8b15e5263.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_branding_shellbrd_be1f632087fb0947.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_branding_basebrd_9ee9a176c9fadab4.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_40104b85a18bfcb2.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_pcat_0f8924c0debe64e4.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_pcat_qps-ploc_109d95b40d3e11cb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_misc_pcat_6b00b12988eafd38.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_efi_0f890f82be247f42.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_dvd_efi_de3c4ceb52549e1c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_dvd_efi_en-us_8245c3aed97c0844.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_bcastdvr_fab1ebc0dbf2dacb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_apppatch_1143992cbbbebcab.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_apppatch_ru-ru_2241de14530ccc00.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_appcompat_appraiser_33781004733ffeee.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_appcompat_appraiser_telemetry_94274e99519f58a9.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_public_8c076a3be22985a1.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_public_videos_20f7329ef941f593.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_public_pictures_f5e7b0c0fda4db8c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_public_music_8c1f3dc399e79184.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_public_libraries_de6591322faedac0.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_public_downloads_631cc37cff593fe6.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_public_documents_70461e22eba239ef.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_public_desktop_2377dac7383055bd.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_73615b64075aa65f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_videos_4078dfd58aff2cd5.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_saved_games_57aaea1c026aa551.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_pictures_209185c2b71537e4.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_music_4066f7392302d756.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_links_4064ed15230be7d0.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_favorites_d09a481c8ccc2a28.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_downloads_d0a063ac92c2c070.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_documents_a9a4e48ccdf32dcf.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_desktop_39aa59e1159d1203.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_33f0d5f51e505ec2.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_roaming_482f0bdd00d1643d.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_roaming_microsoft_b898cfd29d5951f1.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_roaming_microsoft_windows_4793cab2f72cc262.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_roaming_microsoft_windows_templates_9327e87141b4e78f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_roaming_microsoft_windows_start_menu_5eb528778fd8d821.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_roaming_microsoft_windows_start_menu_programs_8181428e5873cb4e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_roaming_microsoft_windows_start_menu_programs_accessibility_1fe25fac404028a8.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_roaming_microsoft_windows_sendto_cc2b2363b7303311.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_roaming_microsoft_windows_recent_ca449f9bba09f987.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_roaming_microsoft_windows_network_shortcuts_cbcbd4ac7028a985.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_roaming_microsoft_internet_explorer_quick_launch_c0ec1d6b06e5808b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_local_bc5dd6ae41aaaeeb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_local_temp_3274946c96022019.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_local_microsoft_3433db0fbe07ab7f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_local_microsoft_windows_9e28651fd972d480.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_local_microsoft_windows_inetcookies_706c818672b5499f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_local_microsoft_windows_inetcache_93b6f38324ca2118.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_local_microsoft_windows_history_f4337fe0129e212c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_local_microsoft_windows_gameexplorer_5a14824a005868dd.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_usoshared_logs_user_cc47ba2ac1c4ac78.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_usoshared_logs_system_1d654048a9eadf5a.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_usoprivate_f18983166baec8e8.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_ssh_538e540ae643d2cc.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_softwaredistribution_ae0bdc9bb1bbdfab.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_fe5c6d762edd2110.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_security_health_ef9cc294168a8b97.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_security_health_logs_d0133fe6679072ac.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_security_health_health_advisor_caf4bd491726b327.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_827f103853495477.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_trace_948df0f7e3c42652.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_temp_7268e2d9fd6b25f5.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_temp_psscriptoutputs_3a0e1d2536445291.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_downloads_9aff56413f03e0ba.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_datacollection_a0b92996ab2dc299.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_cyber_946bea51e45d4954.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_cache_946bebb1e45d47cb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_cae2264614449191.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_wfp_1409fc168e700932.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_wer_temp_783673b09e921b6b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_wer_reportqueue_9ca35f30fc68b178.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_wer_reportarchive_5449504010b82c41.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_templates_15e72976404301fc.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_start_menu_fde55420546edfe6.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_start_menu_programs_d672ba09d81e87ff.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_start_menu_programs_startup_b13751030220a596.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_start_menu_programs_administrative_tools_50eba26877c48094.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_start_menu_programs_accessories_bb30590aa3d31891.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_retaildemo_235295a6167f1c31.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_power_efficiency_diagnostics_acddb9fca5769337.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_parental_controls_bea881b14dc7da94.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_parental_controls_settings_8a26e500c57de871.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_packagedeventproviders_c79719361ec06661.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_onesettings_d58936a49a7f4b26.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_gameexplorer_eb83b477ca9834cc.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_devicemetadatastore_2e1ff34936d2e8e5.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_clipsvc_debc96072b71b0d5.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_clipsvc_install_149a5029c4c64782.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_clipsvc_import_865699c21a2ad5a2.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_clipsvc_genuineticket_d7322dcf4073011e.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_clipsvc_archive_f622c70ff2ada08b.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_apprepository_3e49394d38e6ac94.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_apprepository_packages_711aa2dd7039ca9d.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_apprepository_families_5e2e105f8c5e974e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_storage_health_9e678c58bd8432a1.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_speech_onecore_587c58cfbeda0062.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_spectrum_1dcb4f178cfd5701.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_smsrouter_de9db7c47456f048.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_provisioning_929be8282aecbf17.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_provisioning_assetcache_8fbe865af4949dd7.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_provisioning_assetcache_cellularux_843105bb528cd98c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_mapdata_ce9aee460ee372ae.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_appv_setup_c6b9e738c86ef84a.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86__676bbe2c7241b694.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_windows_nt_75867948982b5de9.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_windows_nt_tabletextservice_7af8121010a6df81.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_windows_media_player_e9607c93dd43c2ea.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_windows_media_player_network_sharing_f29a3dd721834a7e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_windows_media_player_media_renderer_750773e49fdbfa5b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_windows_mail_fc7b184dbf576a4a.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_windows_defender_2ba1d62d9bcc00c8.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_windows_defender_ru-ru_7a2524fb19478389.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_internet_explorer_cafab575245eacb0.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_common_files_dfa3680ec228c528.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_common_files_system_681b9383b994c86d.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_common_files_microsoft_shared_635c287ec97ec0a5.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_common_files_microsoft_shared_msinfo_4536eb45a5f97101.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_ffd0cbfc813cc4f1.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windowsapps_8909e9aceeb80d44.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windowsapps_mutablebackup_726f6fa1fbd23cbc.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windowsapps_mutable_4773d03dc650afca.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windowsapps_deleted_382e0caddd5f5e75.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_security_365dbe6b6f2d7a36.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_security_browsercore_c5418f66c0b6af1b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_security_browsercore_en-us_16858cc50c9b45db.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_nt_6101456faac5015c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_nt_tabletextservice_9475b2de2d92bc74.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_nt_accessories_156d2b9b22040474.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_media_player_da4e5f6eb3198de9.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_media_player_network_sharing_aed05552f451fd7d.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_media_player_media_renderer_5001a1a5de706f6e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_mail_e07902f329fe05e9.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_advanced_threat_protection_096829c909d5eb56.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_advanced_threat_protection_classification_47699381a5289670.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_advanced_threat_protection_classification_configuration_e1d4288a0384bffc.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_3e33901162166ae9.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_ru-ru_a60808950baceef6.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_offline_072b9e24a7f3689a.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_modifiablewindowsapps_230f2b3b95f10a16.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_internet_explorer_a421d1bfaf856e2b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_d7a65bb2f0e854e7.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_system_b13078daf1286f60.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_818c5a0e45020fba.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_textconv_dfb016a4185c8725.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_msinfo_817ad0c7c1c8e490.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_3c86e3db0b3b254c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_zh-tw_b1fdeb1bde31194e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_uk-ua_a87d6ae9ec71d9eb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_sr-latn-rs_c779adb6e1df7f69.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_sk-sk_a4b08eb1f225243d.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_pt-br_9efd33e9fab22d4b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_nl-nl_9b303a720065a2b3.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_hu-hu_8fc97ca8117fc04f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_he-il_8fc96dd2117fd4e1.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_fi-fi_8bfc785c1733457b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_da-dk_882f8e141ce6a40d.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_bg-bg_84629670229a1823.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_common_files_microsoft_shared_ink_ar-sa_827c11e62573e02c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$recycle.bin.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\ar-SA\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\bg-BG\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\da-DK\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\fi-FI\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\he-IL\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\hu-HU\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\nl-NL\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\pt-BR\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\sk-SK\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\sr-Latn-RS\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\uk-UA\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\ink\zh-TW\tipresx.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\microsoft shared\MSInfo\msinfo32.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\System\wab32.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Common Files\System\wab32res.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender\Offline\OfflineScannerShell.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender\ru-RU\MpAsDesc.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncPS.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseMirror.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\Classification\mce.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Mail\wabimp.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:44 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows NT\Accessories\wordpad.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows NT\Accessories\WordpadFilter.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows NT\TableTextService\TableTextService.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Security\BrowserCore\BrowserCore.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Security\BrowserCore\en-US\BrowserCore.exe.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files (x86)\Common Files\Microsoft Shared\MSInfo\msinfo32.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files (x86)\Common Files\System\wab32.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files (x86)\Common Files\System\wab32res.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files (x86)\Windows Mail\wabimp.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files (x86)\Windows NT\TableTextService\TableTextService.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\explorer.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\HelpPane.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\splwow64.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\apppatch\AcRes.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\apppatch\drvmain.sdb Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\apppatch\sysmain.sdb Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\apppatch\ru-RU\AcRes.dll.mui Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\bcastdvr\KnownGameList.bin Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\DVD\EFI\en-US\efisys.bin Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\DVD\EFI\en-US\efisys_noprompt.bin Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\PCAT\qps-ploc\bootmgr.exe.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Branding\Basebrd\basebrd.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Containers\serviced\WindowsDefenderApplicationGuard.wim Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\DiagTrack\GetFileActionAllowedList.dat Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Fonts\Inkfree.ttf Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Globalization\ICU\metaZones.res Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Globalization\ICU\timezoneTypes.res Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Globalization\ICU\windowsZones.res Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Globalization\ICU\zoneinfo64.res Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Globalization\Time Zone\timezoneMapping.xml Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Globalization\Time Zone\timezones.xml Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ImmersiveControlPanel\appxblockmap.xml Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ImmersiveControlPanel\appxmanifest.xml Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ImmersiveControlPanel\appxsignature.p7x Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ImmersiveControlPanel\SystemSettings.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ImmersiveControlPanel\SystemSettings.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ImmersiveControlPanel\SystemSettingsViewModel.Desktop.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ImmersiveControlPanel\Telemetry.Common.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ImmersiveControlPanel\ru-RU\SystemSettings.exe.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ImmersiveControlPanel\Settings\AllSystemSettings_{253E530E-387D-4BC2-959D-E6F86122E5F2}.xml Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\INF\apps.inf Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\DataCollection.admx Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\DeviceInstallation.admx Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\Feeds.admx Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\Kerberos.admx Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\Printing.admx Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\Printing2.admx Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\WindowsDefender.admx Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\ru-RU\DataCollection.adml Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\ru-RU\DeviceInstallation.adml Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\ru-RU\Feeds.adml Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\ru-RU\Kerberos.adml Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\ru-RU\Printing.adml Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\ru-RU\WindowsDefender.adml Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PrintDialog\appxblockmap.xml Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PrintDialog\appxmanifest.xml Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PrintDialog\appxsignature.p7x Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Microsoft-Desktop-Provisioning-Sequence.dat Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Microsoft-Desktop-Provisioning.dat Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Cosa\Microsoft\Microsoft.Windows.Cosa.Desktop.Client.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.EnergyEstimationEngine.Control.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.EnergyEstimationEngine.CPU.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.EnergyEstimationEngine.Display.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.EnergyEstimationEngine.MBB.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.EnergyEstimationEngine.StandbyActivation.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.EnergyEstimationEngine.Storage.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.EnergyEstimationEngine.Telemetry.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.EnergyEstimationEngine.Wifi.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.Settings.Battery.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.Settings.Button.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.Settings.Control.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.Settings.Disk.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.Settings.Display.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.Settings.Graphics.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.Settings.IdleResiliency.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.Settings.PCIExpress.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.Settings.Processor.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Packages\Power.Settings.Sleep.ppkg Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ru-RU\explorer.exe.mui Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\servicing\CbsMsg.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\servicing\TrustedInstaller.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\servicing\Editions\EditionMatrix.xml Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\servicing\ru-RU\CbsMsg.dll.mui Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ShellComponents\TaskFlowUI.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ShellComponents\WindowsInternal.ComposableShell.Experiences.Switcher.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\6bea57fb-8dfb-4177-9ae8-42e8b3529933_RuntimeDeviceInstall.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\aadauthhelper.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\aadcloudap.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\aadjcsp.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\aadtb.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\aadWamExtension.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AarSvc.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AcLayers.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\acmigration.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ActivationManager.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AcWinRT.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AcXtrnal.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\adsldp.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\adsldpc.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\advapi32.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\aeinv.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\agentactivationruntime.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\agentactivationruntimestarter.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\agentactivationruntimewindows.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\APMon.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppContracts.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\appidtel.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\appinfo.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppLockerCSP.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ApplySettingsTemplateCatalog.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ApplyTrustOffline.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\appraiser.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppResolver.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ApproveChildRequest.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppVEntSubsystemController.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppVEntSubsystems64.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppVEntVirtualization.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppxAllUserStore.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppXApplicabilityBlob.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppXDeploymentClient.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppXDeploymentExtensions.desktop.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppXDeploymentExtensions.onecore.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppXDeploymentServer.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppxPackaging.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppxSysprep.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AssignedAccessManager.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\assignedaccessmanagersvc.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AtBroker.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\audiodg.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AudioEndpointBuilder.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AudioEng.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AUDIOKSE.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\audioresourceregistrar.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AudioSes.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\audiosrv.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AudioSrvPolicyManager.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\authfwcfg.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\autoconv.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\autofmt.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\autopilot.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\autopilotdiag.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\bcdedit.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\bcrypt.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\bcryptprimitives.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\bdechangepin.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\bidispl.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\bindfltapi.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\BingMaps.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\BioCredProv.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\BioIso.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\BrokerLib.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ByteCodeGenerator.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CapabilityAccessHandlers.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cdp.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cdprt.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cdpusersvc.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cellulardatacapabilityhandler.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\certcli.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cfgmgr32.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Chakra.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Chakradiag.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Chakrathunk.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CheckNetIsolation.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CIDiag.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cimfs.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cldapi.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Clipc.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ClipSVC.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ClipUp.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cloudAP.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CloudExperienceHost.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CloudExperienceHostCommon.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\clusapi.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cmdext.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cmifw.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cnvfat.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\COLORCNV.DLL Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\combase.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\comctl32.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\computecore.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\computestorage.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\configmanager2.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\conhost.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ConsoleLogon.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ConstraintIndex.Search.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\container.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ContentDeliveryManager.Utilities.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CoreMas.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CPFilters.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CredentialEnrollmentManager.exe Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CredentialEnrollmentManagerForUser.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cryptngc.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cscsvc.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CSystemEventsBrokerClient.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CustomInstallExec.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CustomShellHost.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\d3d11on12.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\D3D12.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\D3D12Core.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\d3d9on12.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dab.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dabapi.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DAFWSD.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DataExchange.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DataStoreCacheDumpTool.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\daxexec.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dciman32.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dcomp.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DesktopSwitcherDataModel.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DeviceEnroller.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DeviceFlows.DataModel.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DeviceMetadataRetrievalClient.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DevicesFlowBroker.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\devmgr.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\devobj.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\devrtl.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DHolographicDisplay.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\diagnosticdataquery.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DiagnosticInvoker.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DiagSvc.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\diagtrack.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\directmanipulation.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\diskpart.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DiskSnapshot.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DispBroker.Desktop.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DispBroker.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dlnashext.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DMAlertListener.ProxyStub.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DmApiSetExtImplDesktop.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DMAppsRes.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dmcertinst.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dmcmnutils.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dmenrollengine.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dmocx.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dmpushproxy.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DMPushRouterCore.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DMRServer.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dnsapi.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dnsrslvr.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DolbyDecMFT.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dot3api.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dot3msm.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dot3svc.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuthTxt.wim Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drvinst.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drvsetup.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drvstore.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dsreg.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dsregcmd.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dsregtask.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dssenh.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dwmcore.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dwmghost.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DWrite.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DWWIN.EXE Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dxgi.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\EapTeapAuth.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\EapTeapConfig.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\EdgeContent.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\edgehtml.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\edgeIso.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\EdgeManager.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\EditBufferTestHook.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\edptask.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\efsext.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\energy.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\energytask.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\enrollmentapi.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\enterprisecsps.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\esent.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\EventAggregation.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ExecModelClient.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ExplorerFrame.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Faultrep.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\FaxPrinterInstaller.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhcat.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhcfg.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhcleanup.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhengine.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhevents.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhlisten.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhmanagew.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhsettingsprovider.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhshl.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhsrchapi.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhsrchph.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhsvc.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhsvcctl.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fhtask.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fingerprintcredential.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\FirewallAPI.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\FlightSettings.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\FntCache.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fontdrvhost.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fontsub.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fphc.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\framedynos.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\FrameServer.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\FrameServerClient.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\FsIso.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\FsNVSDeviceSource.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fsutilext.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fveapi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fveapibase.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fwbase.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fwcfg.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fwmdmcsp.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fwpolicyiomgr.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\FwRemoteSvr.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\GameInput.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\GamePanel.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\gdi32full.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\GdiPlus.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\glu32.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\gpapi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\gpsvc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\HologramWorld.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\HolographicExtensions.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\HoloSI.PCShell.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\HrtfApo.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\httpapi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\hvax64.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\hvix64.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\hvloader.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Hydrogen.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\icfupgd.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\icu.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ie4uinit.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\iedkcs32.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ieframe.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\iemigplugin.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ieproxy.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\iertutil.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IESettingSync.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ieui.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ifsutil.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\imapi2fs.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IndexedDbLegacy.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\inetcpl.cpl Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\InputLocaleManager.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\InputService.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\InputSwitch.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\InstallService.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\InstallServiceTasks.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\invagent.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\iprtprio.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\iprtrmgr.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IPSECSVC.DLL Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ISM.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\joinutil.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\jscript.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\jscript9.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\jscript9diag.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\jsproxy.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\kdhvcom.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\kdnet.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\kdstub.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\kerberos.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\kernel32.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\KernelBase.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\KeyboardFilterCore.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\KeyboardFilterManager.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\KeyboardFilterSvc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\klist.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\LaunchWinApp.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\libcrypto.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\licensingdiag.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\LicensingWinRT.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\localspl.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\localui.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\LocationFramework.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\LocationFrameworkInternalPS.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\LocationFrameworkPS.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\LockController.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\LogonController.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\lpk.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Magnify.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ManageCI.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MapRouter.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MbaeApiPublic.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MBMediaManager.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MBR2GPT.EXE Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mbsmsapi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MDMAgent.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MdmDiagnostics.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MdmDiagnosticsTool.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mdmmigrator.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mdmregistration.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mf.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfasfsrcsnk.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfcore.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfh264enc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MFMediaEngine.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfmkvsrcsnk.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfmp4srcsnk.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfmpeg2srcsnk.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfps.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfsensorgroup.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfsvr.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Bluetooth.Service.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Uev.AppAgent.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Uev.CommonBridge.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Uev.CscUnpinTool.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Uev.ModernAppAgent.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Uev.Office2010CustomActions.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Uev.Office2013CustomActions.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Uev.PrinterCustomActions.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MicrosoftAccountWAMExtension.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mispace.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MitigationClient.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MMDevAPI.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\modernexecserver.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MoUsoCoreWorker.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mprddm.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mprdim.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MPSSVC.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MrmCoreR.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MSAudDecMFT.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msconfig.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msctf.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msfeeds.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MSFlacDecoder.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MSHEIF.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mshtml.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mshtml.tlb Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msi.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msimsg.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msinfo32.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msisip.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msIso.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mskeyprotect.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msmpeg2vdec.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MSPhotography.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msra.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msrahc.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MsraLegacy.tlb Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msscntrs.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mssitlb.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mssph.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mssprxy.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mssrch.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mssvp.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mstscax.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msv1_0.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msxml6.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MTFServer.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MusNotification.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MusNotificationUx.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MusNotifyIcon.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MusUpdateHandlers.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ncobjapi.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ncryptprov.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ncsi.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ndadmin.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\NetworkMobileSettings.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\newdev.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\newdev.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ngccredprov.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\NgcCtnr.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\NgcCtnrSvc.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\NgcIsoCtnr.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ngcpopkeysrv.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ngcsvc.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ngctasks.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\nlaapi.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\nlasvc.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\nltest.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\notepad.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\NotificationController.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\NotificationControllerPS.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\nshhttp.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\nshipsec.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\nshwfp.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ntlanman.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ntprint.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ntprint.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ocsetapi.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oemlicense.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\offlinesam.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\offreg.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oleaut32.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\omadmapi.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\omadmclient.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OneCoreCommonProxyStub.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OneCoreUAPCommonProxyStub.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OneSettingsClient.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\opengl32.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pacjsworker.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\packager.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PayloadRestrictions.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pcasvc.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PCPKsp.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PCShellCommonProxyStub.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pcwutl.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PeerDist.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PeerDistAD.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PeerDistCacheProvider.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PeerDistCleaner.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PeerDistHttpTrans.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PeerDistSh.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PeerDistSvc.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PeerDistWSDDiscoProv.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PerceptionSimulationManager.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\perfts.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PickerHost.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pkeyhelper.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pku2u.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pnidui.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pnppolicy.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pnputil.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\policymanager.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\policymanagerprecheck.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\polstore.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ProductEnumerator.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\profsvc.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\profsvcext.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\propsys.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\quickassist.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\racpldlg.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rasapi32.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rascustom.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\raserver.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rasman.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rasmans.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\RasMediaManager.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rastapi.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rastls.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rastlsext.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rdpbase.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rdpnano.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rdpserverbase.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rdpsign.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rdpudd.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rdsdwmdr.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rdvvmtransport.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\RDXTaskFactory.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ReAgent.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\refsutil.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\remoteaudioendpoint.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\remotepg.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rendezvousSession.tlb Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\reseteng.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ResetEngine.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\resutils.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\RjvMDMConfig.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Robocopy.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rpcrt4.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rpcss.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rsaenh.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rtm.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\runexehelper.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\samlib.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\samsrv.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\schedsvc.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sdchange.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Search.ProtocolHandler.MAPI2.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SearchFilterHost.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SearchIndexer.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SearchProtocolHost.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SecConfig.efi Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SecurityHealthAgent.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SecurityHealthHost.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SecurityHealthProxyStub.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SecurityHealthService.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SessEnv.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsEnvironment.Desktop.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsExtensibilityHandlers.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_AnalogShell.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_AppExecutionAlias.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_Authentication.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_BackgroundApps.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_CapabilityAccess.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_ContentDeliveryManager.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_IME.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_Language.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_ManagePhone.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_Notifications.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_nt.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_PCDisplay.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_Region.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_SIUF.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_SpeechPrivacy.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_StorageSense.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_Troubleshoot.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\setupapi.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\setupcl.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\setupcln.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SgrmEnclave_secure.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ShareHost.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SHCore.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\shell32.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\shlwapi.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\signdrv.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SIHClient.exe Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\smartscreen.exe Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\smphost.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SmsRouterSvc.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SndVolSSO.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spaceman.exe Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SpatialAudioLicenseSrv.exe Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SpatializerApo.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Spectrum.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SpeechPal.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spfileq.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spoolsv.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sppcext.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SppExtComObj.Exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sppnp.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sppobjs.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sppsvc.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SRH.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\srpapi.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\srvsvc.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sscore.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ssdpapi.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ssdpsrv.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\StartTileData.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\stobject.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\StorageUsage.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\storagewmi.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\storewuauth.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\StorSvc.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SystemEventsBrokerClient.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SystemEventsBrokerServer.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SystemSettings.Handlers.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SystemSettingsAdminFlows.exe Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SystemSettingsThresholdAdminFlowUI.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\taskschd.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tdh.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tellib.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\termsrv.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\TextInputFramework.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\TextInputMethodFormatter.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\thumbcache.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tier2punctuations.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\TileDataRepository.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\TokenBroker.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\TpmTool.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tquery.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tscfgwmi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tsf3gip.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tsgqec.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tspubwmi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\twinapi.appcore.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\twinui.appcore.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\twinui.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\twinui.pcshell.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ubpm.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\uexfat.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ufat.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UIAutomationCore.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ulib.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\umpo.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\umpoext.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\untfs.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UpdateAgent.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\updatecsp.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UpdateDeploymentProvider.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\updatepolicy.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\upnp.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\upshared.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\uReFS.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\urlmon.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\usbmon.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\user32.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UserDataTimeUtil.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UserDeviceRegistration.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UserDeviceRegistration.Ngc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\usoapi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\usocoreworker.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\usosvc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\utcutil.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\uudf.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\uwfcfgmgmt.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\uwfcsp.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\uxtheme.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\vbscript.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\vdsbas.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\vertdll.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\vmrdvcore.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\vpnike.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WaaSAssessment.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WaaSMedicAgent.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WaaSMedicCapsule.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WaaSMedicPS.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WaaSMedicSvc.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WalletService.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbadmin.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbemcomn.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbiosrvc.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wc_storage.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wci.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wcimage.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wcmcsp.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wcmsvc.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\webio.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\webplatstorageserver.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WebRuntimeManager.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wer.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\werconcpl.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\werdiagcontroller.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\weretw.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WerFault.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wermgr.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\werui.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wevtsvc.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wfapigp.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wfdprov.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wiaacmgr.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wiadefui.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wiashext.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WiFiConfigSP.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wifidatacapabilityhandler.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wimgapi.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wimserv.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32appinventorycsp.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Win32CompatibilityAppraiserCSP.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32k.sys Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32kbase.sys Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32kfull.sys Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32u.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winbio.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:45 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winbrand.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wincorlib.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WindowManagementAPI.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.ApplicationModel.Background.SystemEventsBroker.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.ApplicationModel.ConversationalAgent.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Cortana.Desktop.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Cortana.OneCore.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Data.Pdf.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.FileExplorer.Common.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Graphics.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\windows.immersiveshell.serviceprovider.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Internal.CapturePicker.Desktop.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Internal.Graphics.Display.DisplayColorManagement.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Internal.Management.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Internal.PlatformExtension.DevicePickerExperience.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Internal.PlatformExtension.MiracastBannerExperience.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Internal.Shell.Broker.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Internal.ShellCommon.Broker.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\windows.internal.shellcommon.shareexperience.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Internal.Signals.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Internal.System.UserProfile.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Management.EnrollmentStatusTracking.ConfigProvider.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Management.InprocObjects.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Management.Service.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Media.Audio.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Media.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Media.Ocr.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Media.Protection.PlayReady.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Media.Speech.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Media.Speech.UXRes.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Media.Streaming.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Mirage.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Mirage.Internal.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Networking.UX.EapRequestHandler.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Networking.Vpn.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Perception.Stub.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Services.TargetedContent.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\windows.storage.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.System.Launcher.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.System.Profile.PlatformDiagnosticsAndUsageDataSettings.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.System.SystemManagement.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.AppDefaults.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Core.TextInput.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.CredDialogController.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.FileExplorer.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Immersive.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Input.Inking.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Logon.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Storage.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Xaml.Controls.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Xaml.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Xaml.InkControls.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Xaml.Maps.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Xaml.Phone.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Xaml.Resources.Common.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WindowsCodecs.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WindowsManagementServiceWinRt.ProxyStub.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winhttp.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winhttpcom.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wininet.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winipsec.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winlogon.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winrscmd.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winsku.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winspool.drv Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wintrust.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinTypes.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WiredNetworkCSP.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wkspbroker.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wkssvc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wlanapi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wlanhlp.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wlanmsm.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wlansec.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wlansvc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wlansvcpal.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wmp.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WMVCORE.DLL Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WMVDECOD.DLL Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WordBreakers.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WorkFolders.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WorkfoldersControl.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WorkFoldersShell.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\workfolderssvc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wosc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wow64.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Wpc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcApi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcDesktopMonSvc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcMon.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcRefreshTask.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcTok.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcWebFilter.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wpd_ci.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wpdbusenum.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wpdshext.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wpnapps.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WPTaskScheduler.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wpx.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wscadminui.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wscapi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wscinterop.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wscisvif.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wscproxystub.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wscsvc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wscui.cpl Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wsl.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wslapi.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WsmAgent.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WSManHTTPConfig.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WSManMigrationPlugin.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WsmAuto.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wsmplpxy.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wsmprovhost.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WsmRes.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WsmSvc.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WsmWmiPl.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wsp_fs.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wsp_health.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wsqmcons.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wuapi.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wuauclt.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wuaueng.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WUDFx02000.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wudriver.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wups.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wups2.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wusa.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wuuhext.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wuuhosdeployment.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wwanprotdim.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wwansvc.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\XpsPrint.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\xpsservices.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ar-SA\comctl32.dll.mui Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ar-SA\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\bg-BG\comdlg32.dll.mui Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Boot\winload.efi Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Boot\winload.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Dism\ProvProvider.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Dism\TransmogProvider.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\afunix.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\agilevpn.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\appid.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\applockerfltr.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\bindflt.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\CEA.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\cimfs.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\cldflt.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ClipSp.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\condrv.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\http.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\hvservice.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ipfltdrv.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\KNetPwrDepBroker.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\MbbCx.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\nwifi.sys Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\PEAuth.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\srv2.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\srvnet.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ufx01000.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\wcifs.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\WdiWiFi.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\wimmount.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ru-RU\afd.sys.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ru-RU\bthenum.sys.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ru-RU\bthport.sys.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ru-RU\BTHUSB.SYS.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\ru-RU\tcpip.sys.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\aadcloudap.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\adtschema.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\autochk.exe.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\autoconv.exe.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\Autofmt.exe.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\fveapi.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\kernel32.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\KernelBase.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\msaudite.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\msobjs.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\refsutil.exe.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\ulib.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\wsl.exe.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\es-ES\comdlg32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\et-EE\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fr-CA\comctl32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fr-CA\comdlg32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fr-FR\comctl32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\he-IL\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\it-IT\comdlg32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\it-IT\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\lt-LT\comctl32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\lt-LT\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\lv-LV\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migration\AppManMigrationPlugin.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migration\AppxUpgradeMigrationPlugin.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migration\TileStoreMigrationPlugin.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migration\WininetPlugin.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migration\WMIMigrationPlugin.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migration\WpcMigration.Uplevel.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migration\WSearchMigPlugin.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migwiz\migcore.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migwiz\dlmanifests\Microsoft-Windows-WMI-Core\WMIMigrationPlugin.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\nb-NO\comdlg32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\nl-NL\comctl32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\nl-NL\comdlg32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\audit.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\AuditShD.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\cmisetup.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\diagER.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\diagnostic.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\msoobeFirstLogonAnim.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\msoobeplugins.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\oobecoreadapters.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\Setup.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\SetupCleanupTask.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\spprgrss.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\unbcl.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\UserOOBE.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\W32UIImg.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\W32UIRes.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\wdsutil.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\win32ui.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\WinLGDep.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\oobe\winsetup.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OpenSSH\scp.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OpenSSH\sftp.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OpenSSH\ssh-add.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OpenSSH\ssh-agent.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OpenSSH\ssh-keygen.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OpenSSH\ssh-keyscan.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OpenSSH\ssh.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pl-PL\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pt-BR\comctl32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pt-BR\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pt-PT\comdlg32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\aadWamExtension.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\adtschema.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\AppXDeploymentServer.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\assignedaccessguard.exe.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\autopilotdiag.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\comctl32.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\diagtrack.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\DialogBlockingService.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\DMAppsRes.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\dmenterprisediagnostics.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\dmpushroutercore.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\FirewallAPI.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\imapi2fs.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\kernel32.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\KernelBase.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\localspl.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\mpssvc.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\msaudite.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\msobjs.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\ntdll.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\ntprint.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\ntprint.exe.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\OneSettingsClient.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\refsutil.exe.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\samsrv.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\shell32.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\srpapi.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\TsUsbGDCoInstaller.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\ulib.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\Windows.Management.Service.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\winlogon.exe.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\winspool.drv.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\wpd_ci.dll.mui Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\ws2_32.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\wsl.exe.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\wslapi.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\setup\RasMigPlugin.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sk-SK\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sl-SI\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Speech\Engines\TTS\MSTTSEngine.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Speech_OneCore\common\sapi_extensions.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Speech_OneCore\common\sapi_onecore.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Speech_OneCore\common\SpeechBrokeredApi.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Speech_OneCore\common\SpeechModelDownload.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Speech_OneCore\common\SpeechRuntime.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Speech_OneCore\common\SpeechServiceWinRTApi.ProxyStub.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spool\prtprocs\x64\winprint.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\pkeyconfig\pkeyconfig-downlevel.xrm-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\pkeyconfig\pkeyconfig.xrm-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\csvlk-pack\DefaultPpd-csvlk-pack-ppdlic.xrm-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\Education\DefaultPpd-Education-ppdlic.xrm-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\Education\Education-ppdlic.xrm-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\Enterprise\DefaultPpd-Enterprise-ppdlic.xrm-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\Enterprise\Enterprise-ppdlic.xrm-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\IoTEnterprise\DefaultPpd-IoTEnterprise-ppdlic.xrm-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\IoTEnterprise\IoTEnterprise-ppdlic.xrm-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\Professional\DefaultPpd-Professional-ppdlic.xrm-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\Professional\Professional-ppdlic.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ProfessionalCountrySpecific\DefaultPpd-ProfessionalCountrySpecific-ppdlic.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ProfessionalCountrySpecific\ProfessionalCountrySpecific-ppdlic.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ProfessionalEducation\DefaultPpd-ProfessionalEducation-ppdlic.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ProfessionalEducation\ProfessionalEducation-ppdlic.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ProfessionalSingleLanguage\DefaultPpd-ProfessionalSingleLanguage-ppdlic.xrm-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ProfessionalSingleLanguage\ProfessionalSingleLanguage-ppdlic.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ProfessionalWorkstation\DefaultPpd-ProfessionalWorkstation-ppdlic.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ProfessionalWorkstation\ProfessionalWorkstation-ppdlic.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\DefaultPpd-ServerRdsh-ppdlic.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-OEM-NONSLP-1-pl.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-OEM-NONSLP-1-ul-oob.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-OEM-NONSLP-1-ul-phn.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-OEM-NONSLP-1-ul-store.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-OEM-SLP-1-ul-oob.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-OEM-SLP-1-ul.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-ppdlic.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Retail-1-pl.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Retail-1-ul-oob.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Retail-1-ul-phn.xrm-ms Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Retail-1-ul-store.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Volume-GVLK-1-ul-oob-rtm.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Volume-GVLK-1-ul-rtm.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Volume-GVLK-2-ul-oob.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Volume-GVLK-2-ul.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Volume-MAK-1-pl.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Volume-MAK-1-ul-oob.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Volume-MAK-1-ul-phn.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\spp\tokens\skus\ServerRdsh\ServerRdsh-Volume-MAK-1-ul-store.xrm-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sr-Latn-RS\comctl32.dll.mui Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sr-Latn-RS\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SystemResetPlatform\RjvClassicApp.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tr-TR\comctl32.dll.mui Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\uk-UA\comctl32.dll.mui Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UNP\UNPUX.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UNP\UNPUXHost.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UNP\UNPUXLauncher.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UNP\UpdateNotificationHelpers.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UNP\UpdateNotificationMgr.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\cimwin32.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\DMWmiBridgeProv.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\DMWmiBridgeProv.mof Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\DMWmiBridgeProv1.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\DMWmiBridgeProv_Uninstall.mof Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\esscli.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\Microsoft.Uev.AgentWmi.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\mofcomp.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\mofd.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\mofinstall.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\NCProv.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\NetPeerDistCim.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\schedprov.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\unsecapp.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\wbemcore.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\wbemprox.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\wbemsvc.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\wfascim.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\WinMgmtR.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\WMIADAP.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\WmiApRes.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\WmiApSrv.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\WMICOOKR.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\wmiutils.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\ru-RU\wfascim.dll.mui Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceBootstrapAdapter.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceFodUninstaller.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\HelloFace.cat Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\HelloFace.inf Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceDetectorResources.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceProcessor.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceProcessorCore.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceRecognitionEngineAdapter.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceRecognitionEngineAdapterResources_v4.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceRecognitionEngineAdapterResourcesCore.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceRecognitionEngineAdapterResourcesSecure.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceRecognitionSensorAdapter.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceRecognitionSensorAdapterResources.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceRecognitionSensorAdapterVsm.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceRecognitionSensorAdapterVsmSecure.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\FaceTrackerInternal.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinBioPlugIns\FaceDriver\amd64\HelloFace.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\Modules\NetSecurity\Microsoft.Windows.Firewall.Commands.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Provisioning\provpackageapi.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\Modules\StartLayout\StartLayout.psd1 Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinMetadata\Windows.Storage.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\zh-CN\comctl32.dll.mui Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\zh-CN\windows.ui.xaml.dll.mui Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AAD.Core.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AAD.Core.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Microsoft.AAD.BrokerPlugin.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Microsoft.AAD.BrokerPlugin.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AccountsControl_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AccountsControl_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AccountsControl_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AsyncTextService_8wekyb3d8bbwe\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AsyncTextService_8wekyb3d8bbwe\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AsyncTextService_8wekyb3d8bbwe\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.BioEnrollment_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.BioEnrollment_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.BioEnrollment_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.creddialoghost_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.creddialoghost_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.creddialoghost_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.ECApp_8wekyb3d8bbwe\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.ECApp_8wekyb3d8bbwe\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.ECApp_8wekyb3d8bbwe\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.LockApp_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.LockApp_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.LockApp_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\resources.pri Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdgeDevToolsClient_8wekyb3d8bbwe\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdgeDevToolsClient_8wekyb3d8bbwe\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdgeDevToolsClient_8wekyb3d8bbwe\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Win32WebViewHost_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Win32WebViewHost_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Win32WebViewHost_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AddSuggestedFoldersToLibraryDialog_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AddSuggestedFoldersToLibraryDialog_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AddSuggestedFoldersToLibraryDialog_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AppRep.ChxApp_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AppRep.ChxApp_cw5n1h2txyewy\appxmanifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AppRep.ChxApp_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AppResolverUX_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AppResolverUX_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AppResolverUX_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AssignedAccessLockApp_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AssignedAccessLockApp_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AssignedAccessLockApp_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CallingShellApp_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CallingShellApp_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CallingShellApp_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CapturePicker_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CapturePicker_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CapturePicker_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\AntiTheft.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\ApplicationTheme.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudDomainJoin.DataModel.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\cloudexperiencehostapi.provisioning.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostAPI.SyncSettings.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostAPI.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.Account.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.Cortana.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.Hello.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.LocalNgc.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.RetailDemo.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.SyncEngine.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\ContentManagement.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\enterprisedevicemanagement.enrollment.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\enterprisedevicemanagement.service.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\Family.Cache.winmd Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\Microsoft.CloudExperienceHost.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\Microsoft.CloudExperienceHost.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\microsoft.resourceaccountmanager.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\MicrosoftAccount.Extension.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\MicrosoftAccount.TokenProvider.Core.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\MicrosoftAccount.TokenProvider.Core.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\MicrosoftAccount.UserOperations.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\moderndeployment.autopilot.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\RetailDemo.Internal.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\SystemSettings.DataModel.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\UnifiedEnrollment.DataModel.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\userdeviceregistration.ngc.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\data\prod\navigation-scoobe.json Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\data\prod\navigation.json Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\data\prod\uriRules.json Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\js\appManager.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\js\autoPilot.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\js\bridge.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\js\events.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\js\navigator.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\js\syncengine.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\js\tokenProviderManager.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\pris\resources.ru-RU.pri Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilotwhiteglovelanding-page.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilotwhiteglovelanding-vm.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilotwhitegloveresult-page.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\oobeautopilotactivation-page.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\oobeautopilotreboot-page.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\oobeautopilotupdate-page.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\oobeenterpriseprovisioning-page.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\oobeprovisioningprogress-page.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\oobeprovisioningprogress-vm.js Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilot\accountsetupcategoryviewmodel.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilot\autopilotespprogress-page.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilot\autopilotespprogress-vm.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilot\bootstrapsessiongeneralutilities.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilot\bootstrapstatuscategoryview.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilot\bootstrapstatussubcategoryviewmodel.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilot\devicepreparationcategoryviewmodel.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilot\devicesetupcategoryviewmodel.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\autopilot\mdmbootstrapsessionutilities.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy\ContentDeliveryManager.Background.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy\ContentManagementSDK.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FileExplorer_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FileExplorer_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FileExplorer_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FilePicker_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FilePicker_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FilePicker_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FilePicker_cw5n1h2txyewy\FilePicker.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FilePicker_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.OOBENetworkCaptivePortal_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.OOBENetworkCaptivePortal_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.OOBENetworkCaptivePortal_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.OOBENetworkConnectionFlow_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.OOBENetworkConnectionFlow_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.OOBENetworkConnectionFlow_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.PeopleExperienceHost_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.PeopleExperienceHost_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.PeopleExperienceHost_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.PinningConfirmationDialog_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.PinningConfirmationDialog_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.PinningConfirmationDialog_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\BingConfigurationClient.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\Cortana.Internal.Search.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\Cortana.Search.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\DefaultSettings.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\Search.Core.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApi.CppWinrt.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApi.ProxyStub.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\pris\resources.ru-RU.pri Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\SecHealthUIDataModel.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\SecHealthUIViewModels.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartUI.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.XGpuEjectDialog_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.XGpuEjectDialog_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.XGpuEjectDialog_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LayoutData.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\ScreenClipping.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\SuggestionUI.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\TextInput.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\TextInputCommon.winmd Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\AppxMetadata\CodeIntegrity.cat Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\InputApp.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\LayoutData.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\SuggestionUI.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInput.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInputCommon.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInputHost.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\IrisService\IrisService.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\ScreenClipping\ScreenClipping.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\ScreenClipping\ScreenClippingHost.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.UndockedDevKit_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.UndockedDevKit_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\MicrosoftWindows.UndockedDevKit_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\NcsiUwpApp_8wekyb3d8bbwe\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\NcsiUwpApp_8wekyb3d8bbwe\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\NcsiUwpApp_8wekyb3d8bbwe\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\NcsiUwpApp_8wekyb3d8bbwe\NcsiUwpApp.exe Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ParentalControls_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ParentalControls_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ParentalControls_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ParentalControls_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ParentalControls_cw5n1h2txyewy\WpcUapApp.exe Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ParentalControls_cw5n1h2txyewy\pris\resources.ru-RU.pri Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\AppxBlockMap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\AppxManifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\AppxSignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ClockFlyoutExperience.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\DevicesFlowUI.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\MtcUvc.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\SharePickerUI.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\Windows.UI.ActionCenter.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Windows.CBSPreview_cw5n1h2txyewy\appxblockmap.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Windows.CBSPreview_cw5n1h2txyewy\appxmanifest.xml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Windows.CBSPreview_cw5n1h2txyewy\appxsignature.p7x Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Chakra.dll.mun Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\DataExchange.dll.mun Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\dwmcore.dll.mun Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\edgehtml.dll.mun Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\ExplorerFrame.dll.mun Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\ieframe.dll.mun Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\inetcpl.cpl.mun Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Magnify.exe.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\msctf.dll.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\mshtml.dll.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\mssvp.dll.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\mstscax.dll.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\notepad.exe.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\propsys.dll.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\rastls.dll.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\rastlsext.dll.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\remotepg.dll.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\SearchIndexer.exe.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\shell32.dll.mun Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\tquery.dll.mun Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\twinui.appcore.dll.mun Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\twinui.dll.mun Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\wiadefui.dll.mun Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\wiashext.dll.mun Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Windows.Data.Pdf.dll.mun Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\wscui.cpl.mun Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\wuapi.dll.mun Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\ShellComponents\ShellComponents.pri Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\ShellComponents\pris\ShellComponents.ru-RU.pri Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\ShellComponents.Switcher\ShellComponents.Switcher.pri Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Windows.Management.AutopilotResources\Windows.Management.AutopilotResources.pri Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Windows.Management.AutopilotResources\pris\Windows.Management.AutopilotResources.ru-RU.pri Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Windows.UI.Logon\Windows.UI.Logon.pri Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Windows.UI.SettingsAppThreshold\Windows.UI.SettingsAppThreshold.pri Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Windows.UI.SettingsAppThreshold\pris\Windows.UI.SettingsAppThreshold.ru-RU.pri Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Windows.UI.SettingsHandlers-nt\Windows.UI.SettingsHandlers-nt.pri Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Windows.UI.SettingsHandlers-nt\pris\Windows.UI.SettingsHandlers-nt.ru-RU.pri Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\aadauthhelper.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\aadtb.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\aadWamExtension.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AarSvc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AcLayers.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ActivationManager.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AcWinRT.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\acwow64.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AcXtrnal.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\adsldp.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\adsldpc.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\advapi32.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\agentactivationruntime.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\agentactivationruntimewindows.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AppContracts.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AppResolver.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AppVEntSubsystems32.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AppxAllUserStore.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AppXDeploymentClient.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AppxPackaging.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AtBroker.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AudioEng.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AUDIOKSE.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AudioSes.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\authfwcfg.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\autoconv.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\autofmt.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\BCP47Langs.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\bcrypt.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\bcryptprimitives.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\bidispl.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\BingMaps.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\BioCredProv.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ByteCodeGenerator.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\cdp.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\certcli.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\cfgmgr32.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Chakra.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Chakradiag.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Chakrathunk.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\CheckNetIsolation.exe Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\cldapi.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\CloudExperienceHostCommon.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\clusapi.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\cmifw.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\cnvfat.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\COLORCNV.DLL Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\combase.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\comctl32.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ConsoleLogon.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\container.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ContentDeliveryManager.Utilities.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\CPFilters.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\cryptngc.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\d3d11on12.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\D3D12.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\D3D12Core.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\d3d9on12.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dabapi.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\DataExchange.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\daxexec.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dbghelp.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dciman32.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dcomp.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\devmgr.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\devobj.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\devrtl.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\DiagnosticInvoker.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\directmanipulation.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\diskpart.exe Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\DispBroker.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dlnashext.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\DMAlertListener.ProxyStub.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\DMAppsRes.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dmcmnutils.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dmenrollengine.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dmocx.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dmpushproxy.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dnsapi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\DolbyDecMFT.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\drvsetup.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\drvstore.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dsreg.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dsregtask.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dssenh.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\DWrite.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\DWWIN.EXE Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dxgi.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\EapTeapConfig.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\edgehtml.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\edgeIso.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\EdgeManager.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\EditBufferTestHook.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\efsext.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\enrollmentapi.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\esent.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ExecModelClient.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\explorer.exe Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ExplorerFrame.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Faultrep.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fingerprintcredential.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\FirewallAPI.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\FlightSettings.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fontdrvhost.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fontsub.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fphc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\framedynos.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\FrameServerClient.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fveapi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fveapibase.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fwbase.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fwcfg.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fwpolicyiomgr.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\FWPUCLNT.DLL Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:46 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\FwRemoteSvr.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\GameInput.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\gdi32full.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\GdiPlus.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\glu32.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\HrtfApo.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\httpapi.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\icu.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\iedkcs32.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ieframe.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\iemigplugin.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ieproxy.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\iertutil.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ifsutil.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\imapi2fs.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IndexedDbLegacy.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\inetcpl.cpl Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\InputSwitch.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\InstallService.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\InstallServiceTasks.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\instnm.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\iprtprio.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\iprtrmgr.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\joinutil.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\jscript.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\jscript9.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\jscript9diag.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\jsproxy.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\kerberos.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\kernel32.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\KernelBase.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\KeyboardFilterCore.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\LaunchWinApp.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\LicensingWinRT.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\lpk.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Magnify.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\MbaeApiPublic.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mdmregistration.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mf.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfasfsrcsnk.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfcore.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfh264enc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\MFMediaEngine.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfmkvsrcsnk.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfmp4srcsnk.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfmpeg2srcsnk.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfps.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfsensorgroup.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfsvr.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Microsoft.Uev.AppAgent.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Microsoft.Uev.Office2010CustomActions.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Microsoft.Uev.Office2013CustomActions.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\MicrosoftAccountWAMExtension.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mispace.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\MMDevAPI.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mprddm.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mprdim.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\MrmCoreR.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msctf.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msfeeds.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\MSFlacDecoder.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\MSHEIF.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mshtml.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mshtml.tlb Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msi.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msimsg.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msinfo32.exe Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msisip.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msIso.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msjet40.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mskeyprotect.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msmpeg2vdec.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\MSPhotography.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msra.exe Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\MsraLegacy.tlb Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msscntrs.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mssitlb.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mssph.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mssprxy.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mssrch.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mssvp.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mstscax.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msv1_0.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msxml6.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ncobjapi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ncryptprov.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ndadmin.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\newdev.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\newdev.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ngccredprov.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\nshhttp.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\nshipsec.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\nshwfp.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ntlanman.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ntprint.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ntprint.exe Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ntvdm64.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ocsetapi.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\offlinesam.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\offreg.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\oleaut32.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\omadmapi.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\OneCoreCommonProxyStub.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\OneCoreUAPCommonProxyStub.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\OneSettingsClient.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\opengl32.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\packager.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\PayloadRestrictions.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\PCPKsp.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\PCShellCommonProxyStub.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\PeerDistSh.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\perfts.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\PickerHost.exe Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\pku2u.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\policymanager.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\polstore.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\propsys.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\quickassist.exe Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\racpldlg.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rasapi32.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\raserver.exe Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rasman.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rastapi.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rastls.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rastlsext.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rdpbase.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rdpserverbase.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rdvvmtransport.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ReAgent.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\remoteaudioendpoint.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\remotepg.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rendezvousSession.tlb Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\resutils.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Robocopy.exe Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rpcrt4.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rsaenh.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\rtm.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\samlib.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\sdchange.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Search.ProtocolHandler.MAPI2.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\SearchFilterHost.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\SearchIndexer.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\SearchProtocolHost.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\SessEnv.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\setup16.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\setupapi.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\setupcl.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\setupcln.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ShareHost.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\SHCore.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\shell32.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\shlwapi.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\signdrv.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\smphost.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\SndVolSSO.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\SpatialAudioLicenseSrv.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\SpatializerApo.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\spfileq.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\srpapi.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\sscore.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\stobject.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\storagewmi.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\SystemEventsBrokerClient.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\taskschd.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\tdh.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\TextInputFramework.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\TextInputMethodFormatter.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\thumbcache.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\TileDataRepository.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\TpmCoreProvisioning.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\TpmTool.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\tquery.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\tsgqec.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\twinui.appcore.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\twinui.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\uexfat.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ufat.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\UIAutomationCore.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ulib.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\untfs.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\updatepolicy.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\upnp.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\uReFS.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\urlmon.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\user.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\user32.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\UserDataTimeUtil.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\UserDeviceRegistration.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\UserDeviceRegistration.Ngc.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\usoapi.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\uudf.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\uxtheme.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\vbscript.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wbemcomn.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\webio.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\webplatstorageserver.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wer.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\werdiagcontroller.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\weretw.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WerFault.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wermgr.exe Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\werui.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wfapigp.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wiaacmgr.exe Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wiadefui.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wiashext.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wimgapi.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\win32k.sys Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\win32kfull.sys Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\win32u.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\winbio.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\winbrand.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wincorlib.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WindowManagementAPI.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.ApplicationModel.Background.SystemEventsBroker.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.ApplicationModel.ConversationalAgent.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Data.Pdf.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.FileExplorer.Common.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Graphics.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Internal.Graphics.Display.DisplayColorManagement.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Internal.Management.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Media.Audio.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Media.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Media.Protection.PlayReady.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Media.Speech.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Media.Streaming.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Mirage.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Mirage.Internal.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Perception.Stub.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Services.TargetedContent.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\windows.storage.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.System.Launcher.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.System.Profile.PlatformDiagnosticsAndUsageDataSettings.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Core.TextInput.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.CredDialogController.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.FileExplorer.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Immersive.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Input.Inking.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Xaml.Controls.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Xaml.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Xaml.InkControls.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Xaml.Maps.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Xaml.Phone.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WindowsCodecs.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\winhttp.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\winhttpcom.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wininet.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\winipsec.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\winrscmd.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\winsku.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\winspool.drv Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wintrust.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WinTypes.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wmp.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WMVCORE.DLL Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WMVDECOD.DLL Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WordBreakers.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wow32.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Wpc.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WpcWebFilter.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wpdshext.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wpnapps.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wscadminui.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wscapi.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wscinterop.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wscisvif.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wscproxystub.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wscui.cpl Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WsmAgent.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WSManHTTPConfig.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WSManMigrationPlugin.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WsmAuto.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wsmplpxy.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wsmprovhost.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WsmRes.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WsmSvc.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WsmWmiPl.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wsp_fs.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wsp_health.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wuapi.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wudriver.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wups.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wusa.exe Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\XpsPrint.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\xpsservices.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ar-SA\comctl32.dll.mui Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Dism\ProvProvider.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Dism\TransmogProvider.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\drivers\afunix.sys Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fr-CA\comctl32.dll.mui Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fr-FR\comctl32.dll.mui Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\lt-LT\comctl32.dll.mui Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\migration\WininetPlugin.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\migration\WMIMigrationPlugin.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\migration\WpcMigration.Uplevel.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\migration\WSearchMigPlugin.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\nl-NL\comctl32.dll.mui Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\oobe\cmisetup.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\oobe\SetupCleanupTask.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\pt-BR\comctl32.dll.mui Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ru-RU\comctl32.dll.mui Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\setup\RasMigPlugin.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Speech\Engines\TTS\MSTTSEngine.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Speech_OneCore\Common\sapi_onecore.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Speech_OneCore\Common\SpeechModelDownload.exe Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Speech_OneCore\Common\SpeechServiceWinRTApi.ProxyStub.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\spp\tokens\pkeyconfig\pkeyconfig-downlevel.xrm-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\spp\tokens\pkeyconfig\pkeyconfig.xrm-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\spp\tokens\skus\csvlk-pack\DefaultPpd-csvlk-pack-ppdlic.xrm-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\sr-Latn-RS\comctl32.dll.mui Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\tr-TR\comctl32.dll.mui Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\uk-UA\comctl32.dll.mui Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wbem\esscli.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wbem\Microsoft.Uev.AgentWmi.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wbem\mofcomp.exe Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wbem\mofd.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wbem\schedprov.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wbem\wbemprox.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wbem\wbemsvc.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wbem\WMIADAP.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wbem\WMICOOKR.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wbem\wmiutils.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\AppvClient\Microsoft.AppV.AppvClientComConsumer.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\NetSecurity\Microsoft.Windows.Firewall.Commands.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\Provisioning\provpackageapi.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WinMetadata\Windows.Storage.winmd Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\zh-CN\comctl32.dll.mui Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WaaS\services\14a3f9e824793931d34f7f786a538bbc9ef1f0d6.xml Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:47 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WaaS\services\ceb497ee0184aaa4681d2fb2ef242a5b8551eea8.xml Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_3296b36dbe4c7fa3.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_083d4e330e766c5d.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_46321ba736a30085.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_wpf_647a02df72a14032.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_wpf_fonts_0428e0346460ac4c.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_wpf_en-us_0242687c673a608c.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_nativeimages_ae465c5139d1dacc.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_83386eac0379231b.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_c40c7a995ddd757b.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_wpf_bc1339ef8efa3c4c.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_wpf_fonts_dc62106d96619a3c.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_wpf_en-us_dc5fd125966afabc.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_nativeimages_7f83bd6ed8241f3a.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_windowsbase_v4.0_4.0.0.0_31bf3856ad364e35_5764ca98829cd598.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_uiautomationtypes_v4.0_4.0.0.0_31bf3856ad364e35_1f12bec8f88f4450.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_uiautomationprovider_v4.0_4.0.0.0_31bf3856ad364e35_6bb637099f04ee2c.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_uiautomationclientsideproviders_v4.0_4.0.0.0_31bf3856ad364e35_6944991d7b306f0d.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_uiautomationclient_v4.0_4.0.0.0_31bf3856ad364e35_35816ba0d06901c4.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system.xaml_v4.0_4.0.0.0_b77a5c561934e089_6747aba031bff5b1.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system.windows.forms_v4.0_4.0.0.0_b77a5c561934e089_7780f78ea9286b2d.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system.windows.controls.ribbon_v4.0_4.0.0.0_b77a5c561934e089_f0c023acb7bafe74.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system.drawing_v4.0_4.0.0.0_b03f5f7f11d50a3a_039c32879a6fdb19.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system.core_v4.0_4.0.0.0_b77a5c561934e089_18d3047bb5729e36.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_system_v4.0_4.0.0.0_b77a5c561934e089_4348a29e5981af79.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_presentationframework-systemdata_v4.0_4.0.0.0_b77a5c561934e089_89b90455552a8828.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_assembly_gac_msil_presentationframework_v4.0_4.0.0.0_31bf3856ad364e35_b57a3b1abb4f9cb2.cdf-ms Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\clrjit.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscordacwks.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscordbi.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorlib.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\peverify.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\SOS.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.Core.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.Drawing.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.Windows.Forms.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.Xaml.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\NativeImages\mscorlib.ni.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PenIMC.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PenIMC2_v0400.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PenIMC_v0400.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationCore.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework-SystemData.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationHost_v0400.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationNative_v0400.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\System.Windows.Controls.Ribbon.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\UIAutomationClient.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\UIAutomationClientsideProviders.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\UIAutomationProvider.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\UIAutomationTypes.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WindowsBase.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\wpfgfx_v0400.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\en-US\PresentationHost_v0400.dll.mui Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clrjit.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\compatjit.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordacwks.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorlib.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\peverify.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SOS.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\NativeImages\mscorlib.ni.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\PenIMC.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\PenIMC2_v0400.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\PenIMC_v0400.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\PresentationCore.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\PresentationHost_v0400.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\PresentationNative_v0400.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\wpfgfx_v0400.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:53:48 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\en-US\PresentationHost_v0400.dll.mui Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x2afc Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | Безопасность | Audit Success | 103 | 2021-08-01 16:54:22 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:38 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1bc Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 16:54:38 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:39 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1d8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:40 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x250 Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:40 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x26c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x250 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x364 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c4 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xc39e Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x364 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xc39d Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2bc Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c4 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x250 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d4 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2bc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x30c Имя нового процесса: ????????????????-??6??4????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2c4 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x320 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2c4 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x364 Имя нового процесса: ????????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2bc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 16:54:41 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xc1af
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x364 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x156ac Связанный ИД входа: 0x156f6 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x364 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x156f6 Связанный ИД входа: 0x156ac Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x364 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x156ac Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x156f6 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe4c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:54:43 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe4c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:54:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:54:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:54:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:54:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:54:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:54:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:54:45 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe34 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:54:45 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe34 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:54:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:54:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:54:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:54:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:54:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:54:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:55:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:55:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:55:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:55:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x9f4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x15a7fe Связанный ИД входа: 0x15a82e Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x9f4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x15a82e Связанный ИД входа: 0x15a7fe Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x9f4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x15a7fe Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x48c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:55:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x38c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:55:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x15a82e Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 16:55:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:55:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x15a82e Сведения о процессе: Идентификатор процесса: 3856 Время создания процесса: 2021-08-01T13:55:53.6058159Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:55:54 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x15a82e Сведения о процессе: Идентификатор процесса: 3856 Время создания процесса: 2021-08-01T13:55:53.6058159Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:55:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2520 Время создания процесса: 2021-08-01T13:55:54.1905636Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 16:55:54 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2520 Время создания процесса: 2021-08-01T13:55:54.1905636Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:55:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:55:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:56:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:56:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:56:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b58 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 16:56:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b58 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:07 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:08 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:08 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:56:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:56:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:56:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:56:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:56:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:56:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:56:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:56:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:56:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:56:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:56:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:56:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:56:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:56:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:56:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:56:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 16:56:59 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x15a82e Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x1d68 Имя процесса вызывающей стороны: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:56:59 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x15a82e Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1d68 Имя процесса: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:57:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:57:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:58:41 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x15a82e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:58:41 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x15a82e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:58:41 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x15a82e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 16:58:41 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x15a82e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:59:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:59:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:59:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:59:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:59:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:59:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 16:59:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 16:59:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:00:00 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x260c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:00:00 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x260c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:00:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:00:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x15a82e Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:00:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:04:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:04:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:04:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1900 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:04:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1900 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:04:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:04:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:05:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:05:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:05:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:05:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 17:05:39 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x15a82e Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x2bec Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:05:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x15a82e Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x2bec Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfc8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfc8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfc8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfc8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfc8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfc8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfc8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:06:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfc8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:06:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x30c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:06:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:42 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:42 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:42 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b8 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:42 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1c8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 17:07:42 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:43 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x23c Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:43 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x25c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x23c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 101 | 2021-08-01 17:07:45 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x35c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c0 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xc5ef Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x35c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xc5ee Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x35c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x13d85 Связанный ИД входа: 0x13dbb Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x35c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x13dbb Связанный ИД входа: 0x13d85 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x35c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x13d85 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x13dbb Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b8 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c0 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x23c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c8 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2b8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x308 Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2c0 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x31c Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2c0 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x35c Имя нового процесса: ????????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2b8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 17:07:45 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xc435
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xdd4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xdd4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfcc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:07:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfcc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4198c Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4198c Сведения о процессе: Идентификатор процесса: 4748 Время создания процесса: 2021-08-01T14:07:47.5735220Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4198c Сведения о процессе: Идентификатор процесса: 4748 Время создания процесса: 2021-08-01T14:07:47.5735220Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5676 Время создания процесса: 2021-08-01T14:07:47.8644223Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5676 Время создания процесса: 2021-08-01T14:07:47.8644223Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x7a8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4188a Связанный ИД входа: 0x4198c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x7a8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4198c Связанный ИД входа: 0x4188a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x7a8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x4188a Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x488 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:07:47 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x698 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:07:49 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1878 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:07:49 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1878 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:07:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:07:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:08:00 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:08:00 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:08:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:08:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:08:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4198c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:08:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:08:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:08:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4198c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:08:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:08:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:08:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:08:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4198c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:08:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4198c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:08:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4198c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:08:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4198c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:08:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4198c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:08:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:08:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:08:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:08:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:08:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:08:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 17:08:49 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x4198c Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x150c Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:08:49 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4198c Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x150c Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:08:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:08:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:08:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:08:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:09:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:09:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:09:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:09:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:09:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:09:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:09:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:09:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:09:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:09:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:14:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:14:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:14:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:14:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:14:59 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4198c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2768 Имя процесса: C:\Program Files\ESET\ESET Security\egui.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:16:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:16:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:16:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден из-за несанкционированного изменения. Недопустимые хэш-данные могут указывать на возможную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Windows\System32\aepic.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:16:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден из-за несанкционированного изменения. Недопустимые хэш-данные могут указывать на возможную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Windows\System32\aepic.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:17:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:17:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:17:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:17:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b98 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b98 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b98 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b98 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b98 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b98 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b98 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:18:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b98 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:18:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:18:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:18:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден из-за несанкционированного изменения. Недопустимые хэш-данные могут указывать на возможную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Windows\System32\aepic.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:18:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден из-за несанкционированного изменения. Недопустимые хэш-данные могут указывать на возможную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Windows\System32\aepic.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:19:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:19:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2481 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:19:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:19:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:19:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2459 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:19:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:19:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:19:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:19:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:19:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:19:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:19:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:19:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:19:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:19:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:19:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:19:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:19:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:19:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:19:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:19:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:19:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:19:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:19:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:19:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:19:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:19:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:19:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4198c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:19:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4198c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:19:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4198c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:20:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:20:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:20:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:20:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:20:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:20:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:20:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:20:08 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:20:08 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:20:08 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:20:08 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:13 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:13 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:39 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:39 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:39 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:39 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:40 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:40 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:40 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:40 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:20:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:20:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:21:01 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:21:01 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:21:01 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:21:01 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:21:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:21:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:21:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:21:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:21:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:21:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:21:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:21:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:21:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:21:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:21:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:22:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:22:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:22:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:22:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:22:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:22:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4188a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4188a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4188a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4188a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4188a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4188a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:22:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4188a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:26:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:26:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:12 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:12 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:12 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:12 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:12 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:12 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:12 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:12 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:26:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:26:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:26:45 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f94 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:26:45 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f94 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:26:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:26:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:26:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c20 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:26:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c20 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:26:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:26:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:53 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:53 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:53 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:53 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:53 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:53 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:53 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:53 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:28:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:28:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:01 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:29:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:29:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:30 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:30 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:30 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:30 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:29:40 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:14 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:14 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:14 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:14 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:37 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:37 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:37 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:37 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:38 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:38 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:41 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:41 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:41 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:41 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:30:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:30:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:30:53 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:30:53 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:31:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:31:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:31:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:31:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:31:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:31:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:31:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:31:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:32:41 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:32:41 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:32:41 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:32:41 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:33:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:33:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:33:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:33:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:34:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:36:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:36:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:36:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:36:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:36:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:36:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:37:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:37:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:37:45 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4198c Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1674 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:37:45 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4198c Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x157c Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:37:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:37:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:37:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:37:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:37:56 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4198c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x176c Имя процесса: C:\Program Files\ESET\ESET Security\egui.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:38:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:38:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:38:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x3378 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:38:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x3378 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:44 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:39:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:39:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:29 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:29 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:29 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:29 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:40:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:40:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:42:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:42:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16b8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16b8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16b8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16b8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16b8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16b8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16b8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:42:50 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16b8 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:47:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:47:06 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:47:06 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:47:06 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:47:06 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:48:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:48:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:48:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:48:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:48:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:48:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:48:58 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:48:58 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:49:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:49:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:49:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:49:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:49:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:49:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2768 Время создания процесса: 2021-08-01T14:14:50.5506341Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:50:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:50:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:50:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4198c Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x5a8 Имя процесса: C:\Program Files\WinRAR\WinRAR.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:50:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:50:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21a4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21a4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21a4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21a4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21a4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21a4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21a4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:50:47 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21a4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 17:50:55 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x4198c Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:50:55 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:50:55 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:50:55 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:50:55 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:50:55 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 103 | 2021-08-01 17:51:01 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:14 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:14 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:14 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b8 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 17:51:14 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:15 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1d8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:15 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x218 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:15 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x264 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x218 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xbf5f Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x368 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x108b0 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x368 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x368 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x13411 Связанный ИД входа: 0x1344b Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x368 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1344b Связанный ИД входа: 0x13411 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x368 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x13411 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1344b Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c0 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x218 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d0 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2c0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x310 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2c8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x324 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2c8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x368 Имя нового процесса: ????????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2c0 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 17:51:17 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xbdc6
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc30 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc30 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf20 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:51:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf20 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:20 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4157f Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4157f Сведения о процессе: Идентификатор процесса: 6092 Время создания процесса: 2021-08-01T14:51:21.5016090Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x4157f Сведения о процессе: Идентификатор процесса: 6092 Время создания процесса: 2021-08-01T14:51:21.5016090Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6216 Время создания процесса: 2021-08-01T14:51:21.7466491Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6216 Время создания процесса: 2021-08-01T14:51:21.7466491Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x74c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x41542 Связанный ИД входа: 0x4157f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x74c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Связанный ИД входа: 0x41542 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x74c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x41542 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x498 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:51:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x660 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:22 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:51:25 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1cec Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:51:25 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1cec Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:51:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:51:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4157f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4157f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4157f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4157f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4157f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4157f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4157f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:39 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:39 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:39 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:39 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:40 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:40 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:40 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:40 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:51:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:51:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:51:56 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:51:57 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:52:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:52:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:52:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:52:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:52:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:52:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:52:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:52:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:52:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:52:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 17:52:19 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x4157f Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x2438 Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:52:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:52:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:52:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:52:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:52:19 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x2438 Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:52:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:52:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:52:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:52:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:52:43 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:52:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4157f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:52:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:52:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:52:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:52:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:53:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:53:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:53:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:53:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:53:03 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:53:03 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:53:03 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:53:03 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:53:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:53:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:53:20 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:53:20 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:53:20 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:53:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27a0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 17:53:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27a0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:53:25 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:53:25 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 17:53:25 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:53:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:53:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:53:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:53:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:53:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:53:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:54:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:54:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:54:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:54:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:55:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:55:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:56:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:56:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:56:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:56:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:56:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:56:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:56:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:56:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 17:56:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:56:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:56:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:56:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 17:56:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 17:57:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 17:57:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 17:57:18 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:00:58 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2978 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2978 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2978 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2978 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2978 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2978 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2978 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:03:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2978 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:03:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:03:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:04:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:04:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:04:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:04:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:04:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:04:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:04:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:04:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:05:41 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:05:41 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:05:41 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:05:41 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:05:43 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:05:43 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:05:43 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:05:43 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:05:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:05:57 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:05:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:05:57 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:06:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:06:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:06:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:06:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:06:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:06:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:06:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:06:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:06:30 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:06:30 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:06:30 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:06:30 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:06:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:06:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:06:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:06:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:06:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:06:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:06:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:06:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:06:59 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:06:59 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:06:59 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:06:59 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:07:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:07:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:07:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:07:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:07:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:07:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:07:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:07:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:07:03 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:07:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:07:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:07:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:07:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:07:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:07:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:07:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:07:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:08:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:08:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:08:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:08:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:08:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:08:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:08:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:08:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:08:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:08:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:08:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:08:58 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:08:58 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:08:58 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:09:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:09:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:11:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:11:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:13:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:13:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:17:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:17:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:18:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:18:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:22:52 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:25:14 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x584 Имя процесса: D:\Downloads\Adobe Photoshop 2021 22.1.1.138 RePack by KpoJIuK.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:26:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:26:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:26:51 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x223c Имя процесса: C:\Program Files\ESET\ESET Security\egui.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:27:06 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:27:06 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:27:06 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:27:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x308c Имя процесса: D:\Downloads\Adobe Photoshop 2021 22.1.1.138 RePack by KpoJIuK.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:27:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:27:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:27:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:27:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:30:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:30:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:30:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:30:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:30:51 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:30:54 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:31:03 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:31:13 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:31:37 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:31:41 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:31:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:31:57 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:32:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:32:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:33:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:33:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:33:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:33:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:33:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:33:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:33:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:33:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:33:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:33:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:33:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:33:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:34:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:34:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:34:14 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:34:14 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:36:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:36:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:37:19 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:37:19 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:37:19 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:39:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:39:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:39:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:39:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:39:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:39:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:39:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:39:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:39:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:39:39 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:39:39 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:39:39 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:39:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:39:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:39:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:39:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:39:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:39:54 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:39:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:39:54 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:39:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:39:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:39:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:39:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:41:13 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:41:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:41:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:41:36 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:41:44 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:42:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:42:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:42:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:42:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:42:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:42:50 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x4157f Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x18dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:43:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:43:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:43:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:43:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:44:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:44:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:44:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:44:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:45:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:45:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:45:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:45:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:46:52 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:02 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:02 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:02 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:02 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:03 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:03 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:03 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:03 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:07 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:07 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:07 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:07 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:22 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:22 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:48:46 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:48:46 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:49:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:49:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:49:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:49:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:49:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:49:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:49:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:49:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:49:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:49:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:49:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:49:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:49:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:49:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:49:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:49:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:49:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:49:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:49:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:49:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:50:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:50:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:50:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:50:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:50:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:50:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:50:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:50:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:51:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:51:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:51:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4157f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4157f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x4157f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:51:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:51:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:51:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:52:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:52:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:52:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:52:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:52:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:52:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:53:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:53:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:53:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:53:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:53:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:53:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:53:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:53:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2088 Время создания процесса: 2021-08-01T14:51:17.8903749Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 18:54:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 18:54:11 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 18:54:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b8 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 18:54:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1e4 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 18:54:11 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 18:54:12 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x24c Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 18:54:12 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x268 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x24c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 101 | 2021-08-01 18:54:14 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2d0 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xdb09 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x370 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x127ec Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x370 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x370 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x15bfb Связанный ИД входа: 0x15c3c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x370 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x15c3c Связанный ИД входа: 0x15bfb Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x370 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x15bfb Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x15c3c Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c8 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d0 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x24c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d8 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2c8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x318 Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d0 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x32c Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d0 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 18:54:14 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xd979
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc74 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:54:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc74 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x720 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Связанный ИД входа: 0x3a53a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x720 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a53a Связанный ИД входа: 0x3a4a3 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x720 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3a4a3 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:54:16 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x638 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3a53a Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3a53a Сведения о процессе: Идентификатор процесса: 5472 Время создания процесса: 2021-08-01T15:54:16.8819822Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:18 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3a53a Сведения о процессе: Идентификатор процесса: 5472 Время создания процесса: 2021-08-01T15:54:16.8819822Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6248 Время создания процесса: 2021-08-01T15:54:18.5155678Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:18 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6248 Время создания процесса: 2021-08-01T15:54:18.5155678Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:19 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a53a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x195c Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a53a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x195c Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:54:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d74 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:54:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d74 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3a53a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3a53a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3a53a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3a53a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3a53a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3a53a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:54:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3a53a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:41 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:41 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:41 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:41 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:43 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:43 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:43 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:43 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:44 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:44 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:44 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:54:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:54:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:54:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:54:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:55:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:55:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:55:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:55:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:55:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:55:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 18:55:13 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3a53a Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x21bc Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:55:13 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a53a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21bc Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:55:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:55:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:55:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:55:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:55:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:55:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:55:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:55:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:55:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:55:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:55:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:55:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:55:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:55:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:56:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:56:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:56:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:56:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:56:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:56:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:56:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:56:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:56:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:56:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:56:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:56:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:56:22 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:56:22 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:56:22 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:56:22 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:56:22 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:56:22 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:56:22 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:56:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:56:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:30 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a53a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x195c Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x29c8 Имя процесса: D:\Programms\IObit\Driver Booster\8.6.0\CareScan.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:56:45 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a53a Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc7c Имя процесса: C:\Program Files\ESET\ESET Security\egui.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:56:46 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a53a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x195c Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:57:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:57:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:57:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:57:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:57:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 18:57:50 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:57:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 18:57:50 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2132 Время создания процесса: 2021-08-01T15:54:14.8696771Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:54 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:58 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:57:58 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a4a3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ab8 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:05 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 18:58:07 | | Microsoft-Windows-Security-Auditing | 4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x1d192e
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 18:58:07 | | Microsoft-Windows-Security-Auditing | 4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x2c3c Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x1d192e
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:58:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:58:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:58:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:58:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:58:14 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:58:14 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 18:58:14 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:58:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:58:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1358 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 18:58:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1358 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:58:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:58:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:58:43 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a53a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x195c Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:59:01 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a53a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x195c Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:59:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a53a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x195c Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 18:59:37 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a53a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x195c Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 18:59:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x318 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 18:59:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:16 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1bc Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 19:01:16 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:18 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x228 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:18 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x264 Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x284 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x264 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d8 Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e0 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x264 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e8 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 101 | 2021-08-01 19:01:22 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e0 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xcb2d Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x380 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x11677 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x380 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x380 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x13dd4 Связанный ИД входа: 0x13dfe Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x380 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x13dfe Связанный ИД входа: 0x13dd4 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x380 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x13dd4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x13dfe Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x328 Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e0 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x33c Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e0 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x380 Имя нового процесса: ????????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 19:01:22 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xc96f
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xdb0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xdb0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1048 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:01:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1048 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:01:24 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:01:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x391e4 Сведения о процессе: Идентификатор процесса: 5592 Время создания процесса: 2021-08-01T16:01:24.6947997Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:24 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x7cc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x390e4 Связанный ИД входа: 0x391e4 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x7cc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x391e4 Связанный ИД входа: 0x390e4 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x7cc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x390e4 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:24 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x4a8 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:01:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x6bc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:01:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x391e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:01:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:01:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:01:25 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x391e4 Сведения о процессе: Идентификатор процесса: 5592 Время создания процесса: 2021-08-01T16:01:24.6947997Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:01:25 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2136 Время создания процесса: 2021-08-01T16:01:22.7412079Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:01:25 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 1780 Время создания процесса: 2021-08-01T16:01:25.0274785Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:01:25 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 1780 Время создания процесса: 2021-08-01T16:01:25.0274785Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:27 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x391e4 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1898 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:01:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1804 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:01:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1804 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:30 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x391e4 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1898 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x391e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x391e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x391e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x391e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x391e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x391e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:01:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:01:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:01:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x391e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:01:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:01:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:01:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2136 Время создания процесса: 2021-08-01T16:01:22.7412079Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:01:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2136 Время создания процесса: 2021-08-01T16:01:22.7412079Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:01:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:01:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:01:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2136 Время создания процесса: 2021-08-01T16:01:22.7412079Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:01:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2136 Время создания процесса: 2021-08-01T16:01:22.7412079Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:02:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:02:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 19:02:26 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x391e4 Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x2574 Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:02:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x391e4 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x2574 Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:02:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:02:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:02:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:02:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:03:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:03:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:03:24 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:03:24 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:03:24 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:03:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:03:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:03:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:03:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:03:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:03:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ecmds.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2554 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:03:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2554 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:03:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:03:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:04:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:04:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:04:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:04:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:07:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:07:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:08:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:08:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:08:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:08:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:08:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:08:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:09:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:09:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:09:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:09:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 19:13:00 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x391e4 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7cc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7cc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7cc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7cc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7cc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 103 | 2021-08-01 19:13:01 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:19 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1c8 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 19:13:19 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1f8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1c8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x230 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1c8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x284 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x230 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 19:13:22 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d8 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1c8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e0 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x230 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e8 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x328 Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e0 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x33c Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e0 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:13:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x380 Имя нового процесса: ????????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x380 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e0 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xdc29 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xdc2f Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x380 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x380 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1519b Связанный ИД входа: 0x151c8 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x380 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x151c8 Связанный ИД входа: 0x1519b Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x380 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1519b Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x151c8 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 19:13:23 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xda44
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x4b0 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe18 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe18 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1150 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:13:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1150 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:13:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:13:25 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2228 Время создания процесса: 2021-08-01T16:13:23.6740079Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:25 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x760 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x38b8e Связанный ИД входа: 0x38c62 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x38c62 Связанный ИД входа: 0x38b8e Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x38b8e Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:13:25 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x6a0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:13:26 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x38c62 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:13:26 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:13:26 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:13:26 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x38c62 Сведения о процессе: Идентификатор процесса: 5836 Время создания процесса: 2021-08-01T16:13:25.7865823Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:13:26 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x38c62 Сведения о процессе: Идентификатор процесса: 5836 Время создания процесса: 2021-08-01T16:13:25.7865823Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:13:26 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6296 Время создания процесса: 2021-08-01T16:13:26.3192215Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:13:26 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6296 Время создания процесса: 2021-08-01T16:13:26.3192215Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:27 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x38c62 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x19dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x38c62 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x19dc Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:13:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1dcc Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:13:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1dcc Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x38c62 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x38c62 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x38c62 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x38c62 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x38c62 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x38c62 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:13:43 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x38c62 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:13:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:13:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:14:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:14:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 19:14:28 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x38c62 Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x2434 Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:14:28 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x38c62 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x2434 Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:14:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:14:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:14:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:14:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:15:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:15:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:15:30 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:15:30 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:15:30 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:15:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:15:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:15:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:15:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:15:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:15:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:15:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:15:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:17:26 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:17:26 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:17:26 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:17:37 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Windows\System32\drivers\iaStorAC.sys
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:17:37 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Windows\System32\drivers\iaStorAC.sys
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:19:13 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:19:13 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:19:13 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1cc Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 19:19:13 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:19:15 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x230 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1cc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:19:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x27c Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1cc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:19:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x28c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xeca0 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x38c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x13778 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x38c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x38c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x15f1f Связанный ИД входа: 0x15f4a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x38c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x15f4a Связанный ИД входа: 0x15f1f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x38c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x15f1f Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x15f4a Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e0 Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1cc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2f0 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x330 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x348 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 19:19:17 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xeae2
|
| | Безопасность | Audit Success | 101 | 2021-08-01 19:19:18 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xcf0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:19:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xcf0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x7c4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3a940 Связанный ИД входа: 0x3aa21 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x7c4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Связанный ИД входа: 0x3a940 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x7c4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3a940 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x4a0 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1004 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1004 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:19:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x6a4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:19:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:19:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3aa21 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:19:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:19:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3aa21 Сведения о процессе: Идентификатор процесса: 5652 Время создания процесса: 2021-08-01T16:19:20.1121937Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:19:20 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3aa21 Сведения о процессе: Идентификатор процесса: 5652 Время создания процесса: 2021-08-01T16:19:20.1121937Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:19:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:19:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6380 Время создания процесса: 2021-08-01T16:19:21.0506900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:19:21 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6380 Время создания процесса: 2021-08-01T16:19:21.0506900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:22 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a34 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:19:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x195c Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:19:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x195c Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a34 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aa21 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aa21 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aa21 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aa21 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:36 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aa21 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aa21 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:19:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aa21 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:19:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:19:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:20:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:20:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 19:20:21 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3aa21 Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x24b0 Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:20:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x24b0 Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:21:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:21:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:21:20 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:21:20 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:21:20 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:21:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:21:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:21:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:21:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:21:25 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:21:25 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:21:25 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:21:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:21:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:21:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:21:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:21:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:21:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:21:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:21:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:22:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:22:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:24:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:24:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:24:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:24:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:26 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:26 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:26 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:26 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:29 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:29 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:29 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:29 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:30 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:30 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:30 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:30 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:38 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:38 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:25:53 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:13 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:14 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:14 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:14 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:14 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:26:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:26:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:22 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:22 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:25 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:25 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:25 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:25 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:43 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:27:43 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:43 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:27:43 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:29:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:29:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:29:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:29:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:29:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:29:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:29:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:29:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:29:24 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a34 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:29:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a34 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:29:25 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a90 Имя процесса: C:\Program Files\ESET\ESET Security\egui.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:29:28 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xdfc Имя процесса: C:\Program Files\WinRAR\WinRAR.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:29:37 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a34 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:29:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:29:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:29:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:29:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:29:52 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a34 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:29:54 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1e60 Имя процесса: C:\Program Files\WinRAR\WinRAR.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:30:03 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a34 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:30:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0xed4 Имя процесса: C:\Program Files\WinRAR\WinRAR.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:30:24 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a34 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:30:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x32fc Имя процесса: C:\Program Files\WinRAR\WinRAR.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:30:35 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a34 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:31:09 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x28b8 Имя процесса: C:\Program Files\WinRAR\WinRAR.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:31:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:31:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:31:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:31:55 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:31:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:31:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:31:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:31:55 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:32:28 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x944 Имя процесса: C:\Program Files\WinRAR\WinRAR.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:32:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x2d0c Имя процесса: C:\Program Files\WinRAR\WinRAR.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:33:12 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:33:12 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:33:12 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:33:12 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:33:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:33:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:34:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:34:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:35:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x110c Имя процесса: C:\Program Files\WinRAR\WinRAR.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:36:47 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a34 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:36:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:36:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:39:11 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:39:11 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:39:11 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:39:11 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2096 Время создания процесса: 2021-08-01T16:19:18.1146791Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:42:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aa21 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a34 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:43:04 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:43:04 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:43:08 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2b00 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:43:08 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2b00 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 19:43:10 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3aa21 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:43:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7c4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:43:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7c4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:43:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7c4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:43:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7c4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:43:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x7c4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 103 | 2021-08-01 19:43:17 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:43:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:43:21 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:43:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1c8 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:43:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1f8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1c8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 19:43:21 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:43:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x230 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1c8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:43:23 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x278 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x230 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2dc Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xd676 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2dc Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x37c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x11f38 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x37c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x37c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x144fa Связанный ИД входа: 0x14523 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x37c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x14523 Связанный ИД входа: 0x144fa Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x37c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x144fa Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x14523 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d0 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1c8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2dc Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x230 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e4 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x324 Имя нового процесса: ????????????????-??6??c????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2dc Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x338 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2dc Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 19:43:24 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xd4ab
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:43:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:16 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b8 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 19:44:16 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:18 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x220 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:18 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x260 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x260 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e4 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x384 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xdc14 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e4 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xdc1c Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x384 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x384 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x14f7f Связанный ИД входа: 0x14fb0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x384 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x14fb0 Связанный ИД входа: 0x14f7f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x384 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x14f7f Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x14fb0 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2dc Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1b8 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e4 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x260 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2ec Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2dc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x32c Имя нового процесса: ????????????????-??6??4????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e4 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x340 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e4 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x384 Имя нового процесса: ????????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2dc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 19:44:20 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xda42
|
| | Безопасность | Audit Success | 101 | 2021-08-01 19:44:21 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd50 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:44:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd50 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x704 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3be29 Связанный ИД входа: 0x3befe Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x704 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3befe Связанный ИД входа: 0x3be29 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x704 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3be29 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x4a4 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1014 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:44:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1014 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:44:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:44:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3befe Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:44:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2184 Время создания процесса: 2021-08-01T16:44:21.1666935Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:44:23 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:44:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3befe Сведения о процессе: Идентификатор процесса: 5832 Время создания процесса: 2021-08-01T16:44:23.5210957Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:44:23 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3befe Сведения о процессе: Идентификатор процесса: 5832 Время создания процесса: 2021-08-01T16:44:23.5210957Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:44:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x658 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:44:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:44:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5900 Время создания процесса: 2021-08-01T16:44:23.9694615Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:44:24 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5900 Время создания процесса: 2021-08-01T16:44:23.9694615Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3befe Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1884 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:44:25 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b88 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:44:25 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b88 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3befe Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1884 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3befe Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3befe Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3befe Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3befe Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3befe Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:44:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3befe Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:44:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:44:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:45:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:45:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 19:45:19 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3befe Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x20d8 Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:45:19 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3befe Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x20d8 Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:45:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:45:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:45:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:45:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:46:08 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3befe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:46:08 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3befe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:46:08 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3befe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:46:08 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3befe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:46:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:46:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:46:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:46:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:46:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2818 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:46:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2818 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:46:28 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:46:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:46:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:46:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:46:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x32c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:46:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:46:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:46:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:46:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:47:24 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:47:24 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:47:24 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1bc Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 19:47:24 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:47:25 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1fc Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:47:26 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x264 Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:47:26 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x264 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xe076 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e0 Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x264 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2f0 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x330 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x344 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 19:47:27 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xdeb6
|
| | Безопасность | Audit Success | 101 | 2021-08-01 19:47:28 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x388 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x12ab0 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x388 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x388 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1533e Связанный ИД входа: 0x15366 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x388 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x15366 Связанный ИД входа: 0x1533e Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x388 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1533e Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x15366 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xdcc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xdcc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1108 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:47:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1108 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:47:30 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:47:30 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2168 Время создания процесса: 2021-08-01T16:47:28.5026349Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:47:30 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:30 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x6fc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fb44 Связанный ИД входа: 0x3fbcd Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x6fc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Связанный ИД входа: 0x3fb44 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x6fc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3fb44 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:30 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x4a4 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:47:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3fbcd Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 19:47:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:47:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3fbcd Сведения о процессе: Идентификатор процесса: 6004 Время создания процесса: 2021-08-01T16:47:31.1628765Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:47:31 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3fbcd Сведения о процессе: Идентификатор процесса: 6004 Время создания процесса: 2021-08-01T16:47:31.1628765Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:47:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6516 Время создания процесса: 2021-08-01T16:47:31.7686890Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 19:47:31 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6516 Время создания процесса: 2021-08-01T16:47:31.7686890Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:47:31 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x640 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a70 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a70 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:47:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1e20 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:47:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1e20 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:47:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:47:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3fbcd Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3fbcd Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3fbcd Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3fbcd Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3fbcd Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3fbcd Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:47:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3fbcd Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:48:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:48:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:48:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:48:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 19:48:28 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3fbcd Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x24a0 Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 19:48:28 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x24a0 Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:48:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:48:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:48:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:48:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:49:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:49:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:49:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:49:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:49:31 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:49:31 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:49:31 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:49:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:49:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:49:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:49:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:49:35 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:49:35 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 19:49:35 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:49:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:49:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:49:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:49:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:49:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a4c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 19:49:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a4c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:51:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:51:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:56:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:56:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:56:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:56:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 19:57:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 19:57:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:01:06 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x22c4 Имя процесса: C:\Users\Tsubasa\Desktop\HxD\HxD64.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:02:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:02:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:04:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x22c4 Имя процесса: C:\Users\Tsubasa\Desktop\HxD\HxD64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:05:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x22c4 Имя процесса: C:\Users\Tsubasa\Desktop\HxD\HxD64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:05:27 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:05:27 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:05:27 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:05:27 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:07:13 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x22c4 Имя процесса: C:\Users\Tsubasa\Desktop\HxD\HxD64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:08:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3fbcd Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a70 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 20:08:31 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 20:08:31 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 20:08:33 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3fbcd Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:08:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x6fc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:08:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x6fc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:08:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x6fc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:08:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x6fc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:08:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x6fc Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:08:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21f0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:08:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21f0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 103 | 2021-08-01 20:08:42 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:08:47 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:08:47 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:08:47 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x234 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 20:08:47 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:08:48 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x248 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x234 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:08:49 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x234 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:08:49 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x29c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 20:08:50 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:08:50 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2f0 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x234 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:08:50 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2f8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:08:50 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x300 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2f0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:08:50 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x340 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2f8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:08:50 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x358 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2f8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:51 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xe9e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 20:08:51 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xe819
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x44c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x176da Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x44c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x44c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x18165 Связанный ИД входа: 0x1817c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x44c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1817c Связанный ИД входа: 0x18165 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x44c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x18165 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1817c Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2076 Время создания процесса: 2021-08-01T17:08:52.4062944Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xcc4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xcc4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf88 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:08:53 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf88 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:08:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:08:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 103 | 2021-08-01 20:08:57 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:17:29 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:17:29 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:17:29 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1bc Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 20:17:29 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:17:30 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1f4 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:17:30 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x230 Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:17:31 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x230 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2dc Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xd593 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2dc Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d4 Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1bc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2dc Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x230 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e4 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d4 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x324 Имя нового процесса: ????????????????-??6??c????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2dc Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x338 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2dc Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 20:17:32 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xd3cb
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:33 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x13ed8 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x149b2 Связанный ИД входа: 0x149d8 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x149d8 Связанный ИД входа: 0x149b2 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x149b2 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x149d8 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd38 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:17:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd38 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x7ac Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x35c69 Связанный ИД входа: 0x35d7a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x7ac Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x35d7a Связанный ИД входа: 0x35c69 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x7ac Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x35c69 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x4a4 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x11a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x11a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:17:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x6b0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:17:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x35d7a Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:17:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:17:36 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:17:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x35d7a Сведения о процессе: Идентификатор процесса: 5520 Время создания процесса: 2021-08-01T17:17:36.0056103Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:17:36 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x35d7a Сведения о процессе: Идентификатор процесса: 5520 Время создания процесса: 2021-08-01T17:17:36.0056103Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:17:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5656 Время создания процесса: 2021-08-01T17:17:36.4015425Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:17:36 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5656 Время создания процесса: 2021-08-01T17:17:36.4015425Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:37 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x35d7a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x188c Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x35d7a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x188c Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:17:39 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c04 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:17:39 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c04 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x35d7a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x35d7a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x35d7a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x35d7a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x35d7a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:52 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x35d7a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:17:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:17:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:17:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x35d7a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:18:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:18:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 20:18:28 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x35d7a Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x239c Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:18:28 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x35d7a Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x239c Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:19:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:19:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:19:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:19:05 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:19:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:19:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:19:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:19:05 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:19:07 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:19:07 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:19:07 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:19:07 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:19:09 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:19:09 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:19:09 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:19:09 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:19:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:19:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:19:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:19:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:19:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:19:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:19:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:19:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:19:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:19:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:19:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:19:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:19:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:19:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:19:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:19:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:19:41 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x8d4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:19:41 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x8d4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 20:19:42 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 20:19:42 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 20:19:42 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:19:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:19:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:19:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:19:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:21:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:21:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:21:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:21:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:21:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:21:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:21:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:21:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2272 Время создания процесса: 2021-08-01T17:17:34.2122647Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 20:21:37 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 20:21:37 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 20:21:37 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:41 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:41 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:41 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1c4 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 20:24:41 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:42 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1f4 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1c4 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:42 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x22c Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1c4 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:43 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x27c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x22c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2d8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xd525 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d0 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1c4 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x22c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e0 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x320 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x334 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 20:24:44 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xd365
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 101 | 2021-08-01 20:24:46 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x3c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x13edb Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x3c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x3c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x14a44 Связанный ИД входа: 0x14a6f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x3c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x14a6f Связанный ИД входа: 0x14a44 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x3c4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x14a44 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x14a6f Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd2c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:24:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd2c Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:53 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:53 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:53 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1d0 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 20:24:53 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:54 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1fc Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:55 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x26c Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d0 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:55 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x28c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x26c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 20:24:56 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:56 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e0 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d0 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:56 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x26c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:56 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2f0 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:56 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x330 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 20:24:56 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x344 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e8 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:57 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xd35c Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 20:24:57 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xd19f
|
| | Безопасность | Audit Success | 101 | 2021-08-01 20:24:58 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x210 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x13cd6 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x210 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x210 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1487a Связанный ИД входа: 0x1489e Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x210 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1489e Связанный ИД входа: 0x1487a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x210 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1487a Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1489e Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x794 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3b41b Связанный ИД входа: 0x3b4d1 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x794 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3b4d1 Связанный ИД входа: 0x3b41b Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x794 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3b41b Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x4b4 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd54 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd54 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfa8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:24:59 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfa8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:25:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:25:00 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3b4d1 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:25:00 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:25:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2204 Время создания процесса: 2021-08-01T17:24:58.3597092Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:25:00 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3b4d1 Сведения о процессе: Идентификатор процесса: 5216 Время создания процесса: 2021-08-01T17:25:00.3667086Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:25:00 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3b4d1 Сведения о процессе: Идентификатор процесса: 5216 Время создания процесса: 2021-08-01T17:25:00.3667086Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:25:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:25:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:25:00 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x6b0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:25:01 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:25:01 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6096 Время создания процесса: 2021-08-01T17:25:00.9281876Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:25:01 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6096 Время создания процесса: 2021-08-01T17:25:00.9281876Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:25:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:25:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3b4d1 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1834 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:03 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3b4d1 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1834 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:25:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c4c Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 20:25:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c4c Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:25:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:25:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:25:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:25:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:19 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3b4d1 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1834 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:25:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:25:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:25:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:25:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:25:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:25:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 20:25:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 20:25:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 20:25:57 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3b4d1 Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x2350 Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 20:25:57 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3b4d1 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x2350 Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:26:02 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 20:26:02 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:26:02 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2204 Время создания процесса: 2021-08-01T17:24:58.3597092Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 20:26:02 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2204 Время создания процесса: 2021-08-01T17:24:58.3597092Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 21:42:42 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x2fb8 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2021-08-01T17:26:27.7772691Z Новое время: 2021-08-01T18:42:42.3363158Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 21:42:42 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x2fb8 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2021-08-01T18:42:42.3363158Z Новое время: 2021-08-01T18:42:42.3370309Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 21:42:42 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x2fb8 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2021-08-01T18:42:42.3474691Z Новое время: 2021-08-01T18:42:42.3479706Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:42:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:42:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:42:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:42:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:43 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:43 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:43 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 21:42:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 21:42:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 21:42:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2204 Время создания процесса: 2021-08-01T17:24:58.3597092Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 21:42:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2204 Время создания процесса: 2021-08-01T17:24:58.3597092Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:42:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:43:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:43:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:43:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:43:19 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:28 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:28 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:28 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:28 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3b4d1 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:43:59 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3b4d1 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x3a5c Имя процесса: C:\Program Files\WinRAR\WinRAR.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:44:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:44:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17e0 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17e0 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17e0 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17e0 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17e0 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17e0 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17e0 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:44:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17e0 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:44:11 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:44:11 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:44:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:44:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:44:14 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3b4d1 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1834 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:44:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x3110 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:44:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x3110 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:44:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x330 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:44:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:44:18 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3b4d1 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1834 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:44:19 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3b4d1 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1834 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:44:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:44:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:44:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:44:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:44:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:44:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:44:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:44:33 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:44:33 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:44:33 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 21:45:24 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3b4d1 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:45:24 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x794 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:45:24 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x794 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:45:24 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x794 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:45:24 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x794 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:45:24 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x794 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 103 | 2021-08-01 21:45:28 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 21:47:05 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 21:47:05 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 21:47:05 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1d0 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 21:47:05 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 21:47:06 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1f8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 21:47:07 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x230 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d0 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 21:47:07 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x230 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 21:47:08 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 21:47:08 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d8 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d0 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 21:47:08 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e0 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x230 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 21:47:08 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e8 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 21:47:08 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x328 Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e0 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 21:47:08 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x33c Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2e0 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:09 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e0 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xd5a9 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 21:47:09 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xd3e4
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x1dc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x13ef9 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x1dc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x1dc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x14a5a Связанный ИД входа: 0x14a7c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x1dc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x14a7c Связанный ИД входа: 0x14a5a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x1dc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x14a5a Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x14a7c Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x73c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x376e3 Связанный ИД входа: 0x377f6 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x73c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x377f6 Связанный ИД входа: 0x376e3 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x73c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x376e3 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x4ac Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xdd8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xdd8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1120 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1120 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:47:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x688 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 21:47:12 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 21:47:12 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2288 Время создания процесса: 2021-08-01T18:47:10.3790084Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 21:47:12 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 21:47:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x377f6 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 21:47:13 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 21:47:13 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x377f6 Сведения о процессе: Идентификатор процесса: 5892 Время создания процесса: 2021-08-01T18:47:12.3412903Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 21:47:13 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x377f6 Сведения о процессе: Идентификатор процесса: 5892 Время создания процесса: 2021-08-01T18:47:12.3412903Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 21:47:13 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6516 Время создания процесса: 2021-08-01T18:47:13.0773205Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 21:47:13 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6516 Время создания процесса: 2021-08-01T18:47:13.0773205Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:14 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x377f6 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a84 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x377f6 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a84 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d74 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:47:16 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d74 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:47:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x2120 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:49:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:49:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:49:26 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x73c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:49:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0xea16f Связанный ИД входа: 0xea19e Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x73c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:49:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0xea19e Связанный ИД входа: 0xea16f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x73c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 21:49:26 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0xea19e Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12545 | 2021-08-01 21:49:26 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0xea16f Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:49:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0xea16f Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:49:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:49:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:49:28 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:49:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:49:50 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:49:50 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:50:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:50:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 21:50:08 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x377f6 Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x23e0 Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x377f6 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x23e0 Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:28 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x377f6 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a84 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:50:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:50:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:50:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:51:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:51:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:51:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:51:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:51:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:51:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:51:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:51:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:51:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:51:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:51:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:51:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 21:51:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x377f6 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:51:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:51:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:51:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:51:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:51:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:51:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:51:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:51:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:51:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ba8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 21:51:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2ba8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:51:16 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:51:16 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:51:16 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:51:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:51:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:53:11 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:53:11 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 21:53:11 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:56:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:56:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:56:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:56:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 21:57:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 21:57:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 22:02:34 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x7c Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 22:02:34 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x7c Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 22:02:34 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1cc Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13573 | 2021-08-01 22:02:34 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 22:02:35 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1f4 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1cc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 22:02:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x22c Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1cc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 22:02:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x27c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x22c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 12288 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2dc Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xd93e Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2dc Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d4 Имя нового процесса: ??????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1cc Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2dc Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x22c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e4 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2d4 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x324 Имя нового процесса: ????????????????-??6??c????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2dc Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13312 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x338 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x2dc Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | Безопасность | Audit Success | 13568 | 2021-08-01 22:02:38 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xd77e
|
| | Безопасность | Audit Success | 101 | 2021-08-01 22:02:39 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x428 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x1432f Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x428 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x428 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x151e4 Связанный ИД входа: 0x15202 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x428 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x15202 Связанный ИД входа: 0x151e4 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x428 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x151e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x15202 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd78 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:02:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd78 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:02:41 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:41 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x6f0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Связанный ИД входа: 0x3ad6d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x6f0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Связанный ИД входа: 0x3aca3 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x6f0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3aca3 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:41 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x4a0 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:02:41 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xef0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:02:41 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xef0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:02:41 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x648 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:02:42 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET encryption key Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:02:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET encryption key Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\05bfb2b62daf9420edc8c71057ae114c_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:02:42 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3ad6d Сведения о процессе: Идентификатор процесса: 5612 Время создания процесса: 2021-08-01T19:02:41.7571445Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\Tsubasa\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:02:43 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3ad6d Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:02:43 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:02:43 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа в систему: 0x3ad6d Сведения о процессе: Идентификатор процесса: 5612 Время создания процесса: 2021-08-01T19:02:41.7571445Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:02:43 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6460 Время создания процесса: 2021-08-01T19:02:43.2357667Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:02:43 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 6460 Время создания процесса: 2021-08-01T19:02:43.2357667Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:44 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a18 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:02:45 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1ab8 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:02:45 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1ab8 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:47 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a18 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:02:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:02:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:02:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:03:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:03:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:12 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:12 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:12 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 22:03:30 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:03:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:03:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 22:03:31 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ebehmoni.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:03:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:03:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:03:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2de8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:03:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2de8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | Безопасность | Audit Failure | 12544 | 2021-08-01 22:03:39 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Код входа: 0x3ad6d Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x2658 Имя процесса вызывающей стороны: C:\Program Files\Google\Chrome\Application\chrome.exe Сведения о сети: Имя рабочей станции: DESKTOP-F1CGCQV Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x2658 Имя процесса: C:\Program Files\Google\Chrome\Application\chrome.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:03:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:04:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:04:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:04:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:04:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:04:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:04:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 22:04:41 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 22:04:41 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 22:04:41 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:04:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:04:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:04:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:04:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 22:04:45 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 22:04:45 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Failure | 12290 | 2021-08-01 22:04:45 | | Microsoft-Windows-Security-Auditing | 5038: Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eamsi.dll
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:04:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:04:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:05:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:05:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:07:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x15b4 Имя процесса: D:\Programms\Photoshop\Adobe Photoshop 2021\Photoshop.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:08:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x15b4 Имя процесса: D:\Programms\Photoshop\Adobe Photoshop 2021\Photoshop.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:10:01 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x15b4 Имя процесса: D:\Programms\Photoshop\Adobe Photoshop 2021\Photoshop.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:11:13 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x15b4 Имя процесса: D:\Programms\Photoshop\Adobe Photoshop 2021\Photoshop.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:11:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:11:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:12:36 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x15b4 Имя процесса: D:\Programms\Photoshop\Adobe Photoshop 2021\Photoshop.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:13:45 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x15b4 Имя процесса: D:\Programms\Photoshop\Adobe Photoshop 2021\Photoshop.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:15:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x15b4 Имя процесса: D:\Programms\Photoshop\Adobe Photoshop 2021\Photoshop.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:16:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x15b4 Имя процесса: D:\Programms\Photoshop\Adobe Photoshop 2021\Photoshop.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:17:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:17:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:17:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:17:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:17:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:17:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:43 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:43 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:43 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:43 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aca3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:43 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aca3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:43 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aca3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aca3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aca3 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aca3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3aca3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:17:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:19:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:19:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:19:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:19:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:19:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:19:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:14 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a18 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a18 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Идентификатор входа: 0x3ad6d Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:23 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:23 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:23 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:23 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-F1CGCQV Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-F1CGCQV
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x35dc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x35dc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x35dc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x35dc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x35dc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x35dc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x35dc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:19:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x35dc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:19:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:19:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a18 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:19:41 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a18 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:20:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:20:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:20:25 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:20:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:20:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:20:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:20:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:22:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a18 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:22:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:22:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:22:09 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a18 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:22:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3ad6d Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x1a18 Имя процесса: C:\Windows\explorer.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:23:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:23:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:26:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:26:51 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:26:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:26:51 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:26:56 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:26:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:26:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:27:01 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:27:01 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:27:01 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:27:01 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:28:15 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:28:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12290 | 2021-08-01 22:28:21 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:28:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12292 | 2021-08-01 22:28:21 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Сведения о процессе: Идентификатор процесса: 2124 Время создания процесса: 2021-08-01T19:02:39.7734655Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: ESET_RootCertContainer Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d1d940883614fe244b12f480b5388574_31a31580-aa66-4239-9a0a-f556fa5839d6 Операция: %%2458 Код возврата: 0x0
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:35:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:35:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13824 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Пользователь: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-583 Имя группы: Владельцы устройства Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 13826 | 2021-08-01 22:35:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-3866702510-2991017552-1842836080-1001 Имя учетной записи: Tsubasa Домен учетной записи: DESKTOP-F1CGCQV ИД входа: 0x3aca3 Группа: ИД безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Сведения о процессе: ИД процесса: 0x21dc Имя процесса: C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:35:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:35:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2021-08-01 22:35:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-F1CGCQV$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2021-08-01 22:35:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | Система | Ошибка | Нет | 2021-08-01 16:28:44 | | Service Control Manager | 7023: Служба "netprofm" завершена из-за ошибки %%21
|
| | Система | Ошибка | Нет | 2021-08-01 16:31:00 | | Service Control Manager | 7030: Служба "Расширения и уведомления для принтеров" помечена как интерактивная, но в конфигурации системы такие службы не разрешены. Служба может работать неправильно.
|
| | Система | Внимание | Нет | 2021-08-01 16:31:58 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:32:20 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:34:06 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelWifiIhv06.dll
|
| | Система | Внимание | Нет | 2021-08-01 16:34:34 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:34:48 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.610_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:35:40 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.610_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:36:23 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:36:23 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:36:23 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 16:36:29 | Tsubasa | DCOM | 10010: Регистрация сервера {233525E0-5434-46EF-B464-FD7E45E2E145} DCOM не выполнена за отведенное время ожидания.
|
| | Система | Внимание | Нет | 2021-08-01 16:38:48 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelWifiIhv06.dll
|
| | Система | Внимание | Нет | 2021-08-01 16:39:18 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:39:22 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.610_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:40:29 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelWifiIhv06.dll
|
| | Система | Ошибка | Нет | 2021-08-01 16:40:47 | СИСТЕМА | DCOM | 10005: Произошла ошибка DCOM "1115" при попытке запуска службы SecurityHealthService с аргументами "Недоступно" для запуска сервера: {8C9C0DB7-2CBA-40F1-AFE0-C55740DD91A0}
|
| | Система | Внимание | Нет | 2021-08-01 16:40:48 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | Нет | 2021-08-01 16:41:20 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:41:49 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:41:49 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:41:49 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:41:49 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:43:10 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:43:10 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:43:10 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:44:27 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение System с ИД процесса 4 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smss.exe с ИД процесса 428 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 452 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\dwm.exe с ИД процесса 492 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 540 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wininit.exe с ИД процесса 636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 644 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 648 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\services.exe с ИД процесса 708 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\lsass.exe с ИД процесса 728 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\winlogon.exe с ИД процесса 780 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 792 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 928 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 964 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\ImmersiveControlPanel\SystemSettings.exe с ИД процесса 1060 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1112 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1196 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1204 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1244 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 1288 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1312 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1380 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1388 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1444 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1524 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.925_none_e76d4f6f260a683e\TiWorker.exe с ИД процесса 1552 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1664 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1672 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1676 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 1784 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1796 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1856 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1888 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 1920 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1968 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2008 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2060 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2152 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2272 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2340 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2348 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2356 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SgrmBroker.exe с ИД процесса 2412 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2604 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2644 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 2672 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2700 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ctfmon.exe с ИД процесса 2744 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\audiodg.exe с ИД процесса 2820 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2844 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2852 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smartscreen.exe с ИД процесса 2900 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3000 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3012 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3112 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\spoolsv.exe с ИД процесса 3196 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3300 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\WindowsApps\Microsoft.WindowsStore_11910.1002.5.0_x64__8wekyb3d8bbwe\WinStore.App.exe с ИД процесса 3324 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3376 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3392 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3664 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3700 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3708 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAService.exe с ИД процесса 3724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\SurSvc.exe с ИД процесса 3732 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3740 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3752 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3760 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 3768 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe с ИД процесса 3788 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3840 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3892 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3936 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4028 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4236 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe с ИД процесса 4364 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4400 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\sihost.exe с ИД процесса 4628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\MoUsoCoreWorker.exe с ИД процесса 4644 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4660 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\explorer.exe с ИД процесса 4712 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4780 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4784 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4792 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\taskhostw.exe с ИД процесса 4944 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthSystray.exe с ИД процесса 5000 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchIndexer.exe с ИД процесса 5108 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAUpdateService.exe с ИД процесса 5312 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5412 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 5624 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe с ИД процесса 5900 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Windows Defender\NisSrv.exe с ИД процесса 6044 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\servicing\TrustedInstaller.exe с ИД процесса 6064 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6156 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 6244 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe с ИД процесса 6496 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6512 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Users\Tsubasa\AppData\Local\Microsoft\OneDrive\OneDrive.exe с ИД процесса 6824 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 7016 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 7224 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 7312 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe с ИД процесса 7372 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthService.exe с ИД процесса 7424 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7496 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7540 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SystemSettingsBroker.exe с ИД процесса 7632 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wlanext.exe с ИД процесса 7672 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ibtsiva.exe с ИД процесса 7776 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SysWOW64\wbem\WmiPrvSE.exe с ИД процесса 7892 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 7956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Microsoft\Edge\Application\msedge.exe с ИД процесса 8048 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Microsoft\Edge\Application\msedge.exe с ИД процесса 8076 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe с ИД процесса 8124 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 8156 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Microsoft\Edge\Application\msedge.exe с ИД процесса 8380 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Microsoft\Edge\Application\msedge.exe с ИД процесса 8392 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Microsoft\Edge\Application\msedge.exe с ИД процесса 8468 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Microsoft\Edge\Application\msedge.exe с ИД процесса 8568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Microsoft\Edge\Application\msedge.exe с ИД процесса 8580 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ApplicationFrameHost.exe с ИД процесса 8596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 8964 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\sppsvc.exe с ИД процесса 9024 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 9068 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Microsoft\Edge\Application\msedge.exe с ИД процесса 9076 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInputHost.exe с ИД процесса 9184 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 9220 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 9240 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\msiexec.exe с ИД процесса 9244 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Microsoft\Edge\Application\msedge.exe с ИД процесса 9444 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Microsoft\Edge\Application\msedge.exe с ИД процесса 9460 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 9636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\VSSVC.exe с ИД процесса 9848 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\MusNotification.exe с ИД процесса 9868 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 9872 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 9916 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10084 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10104 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10184 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10196 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10428 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10528 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wuauclt.exe с ИД процесса 10696 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WMIADAP.exe с ИД процесса 10752 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\MusNotifyIcon.exe с ИД процесса 10848 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\drvinst.exe с ИД процесса 10904 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 16:44:30 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiApSrv.exe с ИД процесса 11196 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | Нет | 2021-08-01 16:44:33 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:44:39 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.610_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 16:54:22 | | Service Control Manager | 7043: Служба "Служба "Безопасность Windows"" не завершила работу должным образом после получения управления для выполнения предзавершающих операций.
|
| | Система | Внимание | Нет | 2021-08-01 16:54:22 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 212 | 2021-08-01 16:54:38 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства ACPI\INT3400\2&daba3ff&0.
|
| | Система | Внимание | Нет | 2021-08-01 16:55:54 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:55:54 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:56:20 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:56:50 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:56:50 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 16:56:50 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:04:18 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:04:59 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:05:00 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 17:07:42 | | volmgr | 161: Не удалось создать файл дампа из-за ошибки при создании дампа.
|
| | Система | Внимание | 212 | 2021-08-01 17:07:42 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Ошибка | Нет | 2021-08-01 17:07:45 | | EventLog | 6008: Предыдущее завершение работы системы в 17:02:13 на ?01.?08.?2021 было неожиданным.
|
| | Система | Внимание | Нет | 2021-08-01 17:07:47 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:07:47 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:08:10 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:09:52 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:09:52 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:09:52 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | 1014 | 2021-08-01 17:10:34 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени xn----8sbafotoqlagnhme.xn--p1ai истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Внимание | Нет | 2021-08-01 17:11:11 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 17:16:49 | | Service Control Manager | 7031: Служба Служба антивирусной программы Microsoft Defender была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезапуск службы.
|
| | Система | Ошибка | Нет | 2021-08-01 17:18:53 | | Service Control Manager | 7031: Служба Служба антивирусной программы Microsoft Defender была неожиданно завершена. Это произошло 2 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезапуск службы.
|
| | Система | Внимание | Нет | 2021-08-01 17:20:51 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:20:59 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:26:54 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:34:46 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:36:09 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:36:21 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:36:28 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 17:50:55 | Tsubasa | DCOM | 10010: Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не выполнена за отведенное время ожидания.
|
| | Система | Ошибка | Нет | 2021-08-01 17:50:55 | Tsubasa | DCOM | 10010: Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не выполнена за отведенное время ожидания.
|
| | Система | Внимание | Нет | 2021-08-01 17:51:01 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 212 | 2021-08-01 17:51:14 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Внимание | Нет | 2021-08-01 17:51:21 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:51:21 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:51:40 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:51:44 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:53:25 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:53:25 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 17:56:26 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | 1014 | 2021-08-01 18:07:14 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени ofeligtelemsbasda2.ru истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Внимание | Нет | 2021-08-01 18:12:21 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:17:58 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:19:35 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:20:44 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:21:35 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:22:18 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:24:36 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:27:07 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:27:14 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 18:54:10 | | volmgr | 161: Не удалось создать файл дампа из-за ошибки при создании дампа.
|
| | Система | Внимание | 212 | 2021-08-01 18:54:11 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Ошибка | Нет | 2021-08-01 18:54:14 | | EventLog | 6008: Предыдущее завершение работы системы в 18:52:28 на ?01.?08.?2021 было неожиданным.
|
| | Система | Внимание | Нет | 2021-08-01 18:54:18 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:54:18 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:54:33 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:56:22 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:56:22 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:58:11 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение System с ИД процесса 4 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smss.exe с ИД процесса 440 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\WUDFHost.exe с ИД процесса 488 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 520 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe с ИД процесса 596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 616 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 620 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wininit.exe с ИД процесса 720 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 728 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\services.exe с ИД процесса 792 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\lsass.exe с ИД процесса 812 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\winlogon.exe с ИД процесса 880 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 948 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ctfmon.exe с ИД процесса 956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 984 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 1020 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 1096 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\dwm.exe с ИД процесса 1188 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1240 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1264 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1300 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1396 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1420 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wlanext.exe с ИД процесса 1448 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1468 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1592 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1616 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1764 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1812 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1824 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1944 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2004 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2092 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ekrn.exe с ИД процесса 2132 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2172 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2200 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2264 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2300 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2304 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2336 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2356 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 2372 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2384 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe с ИД процесса 2452 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 2516 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2580 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2584 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2752 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2760 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 2892 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2932 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3188 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 3240 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3420 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DrvInstall\DpInstX64.exe с ИД процесса 3532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3560 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsLdrSrv.exe с ИД процесса 3568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 3596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\drvinst.exe с ИД процесса 3620 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\spoolsv.exe с ИД процесса 3864 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3928 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4000 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4008 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 4060 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsHidSrv.exe с ИД процесса 4156 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4164 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAService.exe с ИД процесса 4172 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4180 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4192 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\Intel\DPTF\esif_uf.exe с ИД процесса 4200 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4208 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4216 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\SurSvc.exe с ИД процесса 4244 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4252 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4260 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ibtsiva.exe с ИД процесса 4280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe с ИД процесса 4288 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SgrmBroker.exe с ИД процесса 4316 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Realtek\Audio\HDA\RAVBg64.exe с ИД процесса 4340 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4428 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 4448 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 4568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 4580 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4700 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4836 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\sump.exe с ИД процесса 4856 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5024 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 5052 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeBackgroundHost.exe с ИД процесса 5224 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5260 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeApp.exe с ИД процесса 5280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DriverBooster.exe с ИД процесса 5340 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe с ИД процесса 5344 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchFilterHost.exe с ИД процесса 5352 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\sihost.exe с ИД процесса 5432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5472 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe с ИД процесса 5624 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5692 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5740 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\taskhostw.exe с ИД процесса 5760 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 5772 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smartscreen.exe с ИД процесса 5984 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6248 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6308 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\explorer.exe с ИД процесса 6492 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe с ИД процесса 6552 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe с ИД процесса 6556 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6684 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6896 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthService.exe с ИД процесса 6976 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7248 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAUpdateService.exe с ИД процесса 7256 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 7452 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe с ИД процесса 7532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchIndexer.exe с ИД процесса 7540 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7788 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 8052 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 8288 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Google\Update\1.3.36.82\GoogleCrashHandler.exe с ИД процесса 8292 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 8392 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Google\Update\1.3.36.82\GoogleCrashHandler64.exe с ИД процесса 8396 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchProtocolHost.exe с ИД процесса 8504 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 8584 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthSystray.exe с ИД процесса 8776 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\MoUsoCoreWorker.exe с ИД процесса 8844 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8952 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\WargamingErrorMonitor.exe с ИД процесса 8964 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\dllhost.exe с ИД процесса 9008 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 9088 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe с ИД процесса 9124 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9180 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 9292 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eguiProxy.exe с ИД процесса 9360 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Users\Tsubasa\AppData\Local\Microsoft\OneDrive\OneDrive.exe с ИД процесса 9380 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9564 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9656 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9664 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9672 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9684 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInputHost.exe с ИД процесса 9712 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9828 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9864 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiApSrv.exe с ИД процесса 9916 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10080 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 10576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10788 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SrTasks.exe с ИД процесса 10892 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\wgc.exe с ИД процесса 10908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11124 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\VSSVC.exe с ИД процесса 11324 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11408 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11572 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11692 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11736 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12056 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_helper_host.exe с ИД процесса 12212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\audiodg.exe с ИД процесса 12268 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe с ИД процесса 12532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12552 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12644 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12652 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12660 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12824 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:15 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 13228 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | Нет | 2021-08-01 18:58:16 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение System с ИД процесса 4 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smss.exe с ИД процесса 440 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\WUDFHost.exe с ИД процесса 488 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe с ИД процесса 596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 616 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 620 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wininit.exe с ИД процесса 720 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 728 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\services.exe с ИД процесса 792 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\lsass.exe с ИД процесса 812 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\winlogon.exe с ИД процесса 880 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 940 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 948 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ctfmon.exe с ИД процесса 956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 984 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 1020 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 1096 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\dwm.exe с ИД процесса 1188 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1240 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1264 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1300 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1396 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1420 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1468 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\cmd.exe с ИД процесса 1576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1592 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1616 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1764 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1812 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1824 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1944 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2004 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2092 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\sppsvc.exe с ИД процесса 2116 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ekrn.exe с ИД процесса 2132 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2172 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2200 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2264 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2300 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2304 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2336 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2356 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 2372 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2384 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe с ИД процесса 2452 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 2516 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2580 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2584 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2752 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2760 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 2892 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2932 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3188 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 3240 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3420 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DrvInstall\DpInstX64.exe с ИД процесса 3532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3560 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsLdrSrv.exe с ИД процесса 3568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 3596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\spoolsv.exe с ИД процесса 3864 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3928 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4000 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4008 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 4060 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsHidSrv.exe с ИД процесса 4156 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4164 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAService.exe с ИД процесса 4172 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4180 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4192 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\Intel\DPTF\esif_uf.exe с ИД процесса 4200 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4208 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4216 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\SurSvc.exe с ИД процесса 4244 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4252 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4260 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ibtsiva.exe с ИД процесса 4280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe с ИД процесса 4288 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SgrmBroker.exe с ИД процесса 4316 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Realtek\Audio\HDA\RAVBg64.exe с ИД процесса 4340 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4428 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 4448 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 4568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 4580 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4700 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4836 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\sump.exe с ИД процесса 4856 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5024 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 5052 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeBackgroundHost.exe с ИД процесса 5224 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5260 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeApp.exe с ИД процесса 5280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DriverBooster.exe с ИД процесса 5340 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe с ИД процесса 5344 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchFilterHost.exe с ИД процесса 5352 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\sihost.exe с ИД процесса 5432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5472 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe с ИД процесса 5624 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5692 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5740 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\taskhostw.exe с ИД процесса 5760 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 5772 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smartscreen.exe с ИД процесса 5984 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6248 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6308 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\explorer.exe с ИД процесса 6492 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe с ИД процесса 6552 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe с ИД процесса 6556 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6684 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6896 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthService.exe с ИД процесса 6976 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7248 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAUpdateService.exe с ИД процесса 7256 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 7452 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe с ИД процесса 7532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchIndexer.exe с ИД процесса 7540 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7788 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 7796 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 8052 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\x64\task.exe с ИД процесса 8256 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 8288 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Google\Update\1.3.36.82\GoogleCrashHandler.exe с ИД процесса 8292 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 8392 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Google\Update\1.3.36.82\GoogleCrashHandler64.exe с ИД процесса 8396 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchProtocolHost.exe с ИД процесса 8504 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 8584 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthSystray.exe с ИД процесса 8776 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8952 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\WargamingErrorMonitor.exe с ИД процесса 8964 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\dllhost.exe с ИД процесса 9008 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 9088 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe с ИД процесса 9124 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9180 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 9292 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eguiProxy.exe с ИД процесса 9360 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Users\Tsubasa\AppData\Local\Microsoft\OneDrive\OneDrive.exe с ИД процесса 9380 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9564 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9656 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9664 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9672 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9684 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInputHost.exe с ИД процесса 9712 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9784 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9828 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wlanext.exe с ИД процесса 9856 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9864 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiApSrv.exe с ИД процесса 9916 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10080 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 10576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10788 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SrTasks.exe с ИД процесса 10892 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\drvinst.exe с ИД процесса 10896 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\wgc.exe с ИД процесса 10908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11124 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\VSSVC.exe с ИД процесса 11324 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11408 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11572 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11692 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11736 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12056 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_helper_host.exe с ИД процесса 12212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\audiodg.exe с ИД процесса 12268 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe с ИД процесса 12532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12552 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12644 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12652 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12660 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12824 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:20 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 13228 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | Нет | 2021-08-01 18:58:21 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение System с ИД процесса 4 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smss.exe с ИД процесса 440 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\WUDFHost.exe с ИД процесса 488 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe с ИД процесса 596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 616 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 620 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wininit.exe с ИД процесса 720 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 728 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\services.exe с ИД процесса 792 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\lsass.exe с ИД процесса 812 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\winlogon.exe с ИД процесса 880 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 940 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 948 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ctfmon.exe с ИД процесса 956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 984 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 1020 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 1096 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\dwm.exe с ИД процесса 1188 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1240 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1264 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1300 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1396 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1420 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1468 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1592 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1616 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1764 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1812 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1824 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wlanext.exe с ИД процесса 1932 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1944 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\slui.exe с ИД процесса 1980 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2004 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2092 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\sppsvc.exe с ИД процесса 2116 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ekrn.exe с ИД процесса 2132 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2172 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2200 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2264 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2300 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2304 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2336 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2356 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2384 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe с ИД процесса 2452 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 2516 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2580 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2584 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2752 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2760 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 2892 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2932 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3188 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 3240 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3420 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DrvInstall\DpInstX64.exe с ИД процесса 3532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3560 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsLdrSrv.exe с ИД процесса 3568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 3596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\x64\esrv.exe с ИД процесса 3716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\spoolsv.exe с ИД процесса 3864 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3928 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4000 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4008 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 4060 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsHidSrv.exe с ИД процесса 4156 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4164 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAService.exe с ИД процесса 4172 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4180 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4192 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\Intel\DPTF\esif_uf.exe с ИД процесса 4200 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4208 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4216 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\SurSvc.exe с ИД процесса 4244 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4252 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4260 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ibtsiva.exe с ИД процесса 4280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe с ИД процесса 4288 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SgrmBroker.exe с ИД процесса 4316 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Realtek\Audio\HDA\RAVBg64.exe с ИД процесса 4340 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4428 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 4448 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 4568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 4580 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4700 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4836 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\sump.exe с ИД процесса 4856 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4952 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5024 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 5052 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeBackgroundHost.exe с ИД процесса 5224 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5260 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeApp.exe с ИД процесса 5280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DriverBooster.exe с ИД процесса 5340 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe с ИД процесса 5344 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchFilterHost.exe с ИД процесса 5352 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SppExtComObj.Exe с ИД процесса 5412 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\sihost.exe с ИД процесса 5432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5472 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe с ИД процесса 5624 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5692 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5740 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\taskhostw.exe с ИД процесса 5760 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 5772 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smartscreen.exe с ИД процесса 5984 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6248 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6308 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\explorer.exe с ИД процесса 6492 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe с ИД процесса 6552 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe с ИД процесса 6556 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6684 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6896 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthService.exe с ИД процесса 6976 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7248 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAUpdateService.exe с ИД процесса 7256 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 7452 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe с ИД процесса 7532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchIndexer.exe с ИД процесса 7540 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7788 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 7820 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 8052 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 8288 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Google\Update\1.3.36.82\GoogleCrashHandler.exe с ИД процесса 8292 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 8392 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Google\Update\1.3.36.82\GoogleCrashHandler64.exe с ИД процесса 8396 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchProtocolHost.exe с ИД процесса 8504 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 8584 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthSystray.exe с ИД процесса 8776 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8952 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\WargamingErrorMonitor.exe с ИД процесса 8964 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\dllhost.exe с ИД процесса 9008 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 9088 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe с ИД процесса 9124 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9180 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 9292 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\drvinst.exe с ИД процесса 9356 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eguiProxy.exe с ИД процесса 9360 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Users\Tsubasa\AppData\Local\Microsoft\OneDrive\OneDrive.exe с ИД процесса 9380 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9564 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9656 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9664 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9672 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9684 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInputHost.exe с ИД процесса 9712 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9828 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9864 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10080 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 10576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10788 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\wgc.exe с ИД процесса 10908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 11060 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11124 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\VSSVC.exe с ИД процесса 11324 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11408 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11572 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11692 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11736 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12056 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_helper_host.exe с ИД процесса 12212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\audiodg.exe с ИД процесса 12268 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\slui.exe с ИД процесса 12504 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe с ИД процесса 12532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12552 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 12560 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12644 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12652 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12660 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12824 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:26 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 13228 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | Нет | 2021-08-01 18:58:28 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение System с ИД процесса 4 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smss.exe с ИД процесса 440 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\WUDFHost.exe с ИД процесса 488 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe с ИД процесса 596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 616 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 620 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wininit.exe с ИД процесса 720 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 728 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\services.exe с ИД процесса 792 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\lsass.exe с ИД процесса 812 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\winlogon.exe с ИД процесса 880 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 940 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 948 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ctfmon.exe с ИД процесса 956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 984 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 1020 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 1096 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\dwm.exe с ИД процесса 1188 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1240 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1264 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1300 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1396 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1420 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1468 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1592 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1616 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1764 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1812 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1824 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1944 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2004 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2092 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\sppsvc.exe с ИД процесса 2116 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ekrn.exe с ИД процесса 2132 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2172 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2200 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2264 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2300 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2304 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2336 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2356 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2384 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe с ИД процесса 2452 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 2516 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2580 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2584 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2752 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2760 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 2892 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2932 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3188 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 3240 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3420 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DrvInstall\DpInstX64.exe с ИД процесса 3532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3560 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsLdrSrv.exe с ИД процесса 3568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 3596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\drvinst.exe с ИД процесса 3660 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\x64\esrv.exe с ИД процесса 3716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\spoolsv.exe с ИД процесса 3864 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3928 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4000 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4008 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 4060 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsHidSrv.exe с ИД процесса 4156 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4164 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAService.exe с ИД процесса 4172 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4180 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4192 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\Intel\DPTF\esif_uf.exe с ИД процесса 4200 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4208 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4216 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\SurSvc.exe с ИД процесса 4244 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4252 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4260 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ibtsiva.exe с ИД процесса 4280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe с ИД процесса 4288 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SgrmBroker.exe с ИД процесса 4316 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Realtek\Audio\HDA\RAVBg64.exe с ИД процесса 4340 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4428 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 4448 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 4568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 4580 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 4640 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4700 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4836 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\sump.exe с ИД процесса 4856 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4952 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5024 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 5052 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeBackgroundHost.exe с ИД процесса 5224 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5260 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeApp.exe с ИД процесса 5280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DriverBooster.exe с ИД процесса 5340 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe с ИД процесса 5344 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchFilterHost.exe с ИД процесса 5352 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SppExtComObj.Exe с ИД процесса 5412 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\sihost.exe с ИД процесса 5432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5472 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe с ИД процесса 5624 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5692 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5740 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\taskhostw.exe с ИД процесса 5760 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 5772 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smartscreen.exe с ИД процесса 5984 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6248 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6308 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\explorer.exe с ИД процесса 6492 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe с ИД процесса 6552 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe с ИД процесса 6556 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6684 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6896 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthService.exe с ИД процесса 6976 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7248 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAUpdateService.exe с ИД процесса 7256 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 7452 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe с ИД процесса 7532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchIndexer.exe с ИД процесса 7540 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7788 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 8052 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 8288 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Google\Update\1.3.36.82\GoogleCrashHandler.exe с ИД процесса 8292 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 8392 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Google\Update\1.3.36.82\GoogleCrashHandler64.exe с ИД процесса 8396 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchProtocolHost.exe с ИД процесса 8504 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 8584 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthSystray.exe с ИД процесса 8776 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8952 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\WargamingErrorMonitor.exe с ИД процесса 8964 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\dllhost.exe с ИД процесса 9008 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 9088 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe с ИД процесса 9124 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9180 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 9292 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eguiProxy.exe с ИД процесса 9360 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Users\Tsubasa\AppData\Local\Microsoft\OneDrive\OneDrive.exe с ИД процесса 9380 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9564 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9656 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9664 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9672 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9684 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInputHost.exe с ИД процесса 9712 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9828 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9864 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10080 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wlanext.exe с ИД процесса 10380 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 10576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10788 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\wgc.exe с ИД процесса 10908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\slui.exe с ИД процесса 11016 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11124 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\VSSVC.exe с ИД процесса 11324 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11408 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11572 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11692 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11736 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12056 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_helper_host.exe с ИД процесса 12212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\audiodg.exe с ИД процесса 12268 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe с ИД процесса 12532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12552 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 12560 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12644 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12652 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12660 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12824 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 13228 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:33 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\slui.exe с ИД процесса 13308 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | Нет | 2021-08-01 18:58:36 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение System с ИД процесса 4 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smss.exe с ИД процесса 440 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\WUDFHost.exe с ИД процесса 488 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe с ИД процесса 596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 616 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 620 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wininit.exe с ИД процесса 720 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\csrss.exe с ИД процесса 728 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\services.exe с ИД процесса 792 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\lsass.exe с ИД процесса 812 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\winlogon.exe с ИД процесса 880 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 940 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 948 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ctfmon.exe с ИД процесса 956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 984 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 1020 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\fontdrvhost.exe с ИД процесса 1096 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\dwm.exe с ИД процесса 1188 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1240 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1264 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1300 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1396 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1420 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1468 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1592 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1616 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1764 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1812 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1824 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 1944 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2004 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2092 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\sppsvc.exe с ИД процесса 2116 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\ESET\ESET Security\ekrn.exe с ИД процесса 2132 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2172 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2200 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2264 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2300 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2304 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2336 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2356 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2384 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe с ИД процесса 2452 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 2516 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2580 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2584 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2752 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2760 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe с ИД процесса 2892 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 2932 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wlanext.exe с ИД процесса 3144 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3188 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 3240 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3420 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DrvInstall\DpInstX64.exe с ИД процесса 3532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3560 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsLdrSrv.exe с ИД процесса 3568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 3596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\x64\esrv.exe с ИД процесса 3716 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\spoolsv.exe с ИД процесса 3864 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 3928 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4000 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4008 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 4060 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsHidSrv.exe с ИД процесса 4156 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4164 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAService.exe с ИД процесса 4172 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4180 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4192 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\Intel\DPTF\esif_uf.exe с ИД процесса 4200 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4208 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4216 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\SurSvc.exe с ИД процесса 4244 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4252 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4260 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\ibtsiva.exe с ИД процесса 4280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe с ИД процесса 4288 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SgrmBroker.exe с ИД процесса 4316 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Realtek\Audio\HDA\RAVBg64.exe с ИД процесса 4340 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4428 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 4448 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 4568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 4580 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4700 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4836 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\sump.exe с ИД процесса 4856 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 4952 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5012 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5024 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 5052 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeBackgroundHost.exe с ИД процесса 5224 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5260 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeApp.exe с ИД процесса 5280 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DriverBooster.exe с ИД процесса 5340 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe с ИД процесса 5344 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchFilterHost.exe с ИД процесса 5352 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SppExtComObj.Exe с ИД процесса 5412 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\sihost.exe с ИД процесса 5432 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5472 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe с ИД процесса 5624 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5692 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 5740 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\taskhostw.exe с ИД процесса 5760 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 5772 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\smartscreen.exe с ИД процесса 5984 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\conhost.exe с ИД процесса 6028 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6248 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6308 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\explorer.exe с ИД процесса 6492 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe с ИД процесса 6552 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe с ИД процесса 6556 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6684 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 6896 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthService.exe с ИД процесса 6976 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7248 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAUpdateService.exe с ИД процесса 7256 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 7452 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe с ИД процесса 7532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchIndexer.exe с ИД процесса 7540 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 7788 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 8052 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 8288 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Google\Update\1.3.36.82\GoogleCrashHandler.exe с ИД процесса 8292 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 8392 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Google\Update\1.3.36.82\GoogleCrashHandler64.exe с ИД процесса 8396 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SearchProtocolHost.exe с ИД процесса 8504 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 8584 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\SecurityHealthSystray.exe с ИД процесса 8776 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8952 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 8956 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\WargamingErrorMonitor.exe с ИД процесса 8964 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\dllhost.exe с ИД процесса 9008 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 9088 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe с ИД процесса 9124 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9180 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\RuntimeBroker.exe с ИД процесса 9292 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\ESET\ESET Security\eguiProxy.exe с ИД процесса 9360 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Users\Tsubasa\AppData\Local\Microsoft\OneDrive\OneDrive.exe с ИД процесса 9380 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9564 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9656 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9664 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9672 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9684 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInputHost.exe с ИД процесса 9712 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9724 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9828 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 9864 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10080 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\drvinst.exe с ИД процесса 10568 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\wbem\WmiPrvSE.exe с ИД процесса 10576 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 10788 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\wgc.exe с ИД процесса 10908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11124 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\VSSVC.exe с ИД процесса 11324 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11408 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11572 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11596 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11692 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 11736 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\slui.exe с ИД процесса 12040 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12056 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_helper_host.exe с ИД процесса 12212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\audiodg.exe с ИД процесса 12268 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe с ИД процесса 12532 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12552 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Windows\System32\svchost.exe с ИД процесса 12560 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12628 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12644 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12652 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12660 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12668 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 12824 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | 223 | 2021-08-01 18:58:40 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Google\Chrome\Application\chrome.exe с ИД процесса 13228 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A118&SUBSYS_16D01043&REV_F1\3&11583659&0&E8.
|
| | Система | Внимание | Нет | 2021-08-01 18:58:51 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:59:00 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 18:59:43 | | MEIx64 | 4: Системе не удается открыть файл.
|
| | Система | Внимание | 223 | 2021-08-01 19:00:02 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files\Intel\SUR\QUEENCREEK\x64\esrv_svc.exe с ИД процесса 12532 остановило удаление или извлечение для устройства ACPI\PNP0C0A\0.
|
| | Система | Внимание | Нет | 2021-08-01 19:00:06 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | 223 | 2021-08-01 19:00:12 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение System с ИД процесса 4 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:00:12 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 3016 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:00:12 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAService.exe с ИД процесса 4172 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:00:12 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\sump.exe с ИД процесса 4856 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:00:12 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DrvInstall\DpInstX64.exe с ИД процесса 8696 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:00:12 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\WargamingErrorMonitor.exe с ИД процесса 8964 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:00:12 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\wgc.exe с ИД процесса 10908 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:00:12 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11408 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:00:12 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11692 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:00:12 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_helper_host.exe с ИД процесса 12212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Ошибка | Нет | 2021-08-01 19:01:16 | | volmgr | 161: Не удалось создать файл дампа из-за ошибки при создании дампа.
|
| | Система | Внимание | 212 | 2021-08-01 19:01:17 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Ошибка | Нет | 2021-08-01 19:01:22 | | EventLog | 6008: Предыдущее завершение работы системы в 19:00:02 на ?01.?08.?2021 было неожиданным.
|
| | Система | Внимание | Нет | 2021-08-01 19:01:25 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:01:25 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:01:46 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:03:29 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:03:29 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 19:05:36 | | Service Control Manager | 7034: Служба "Energy Server Service queencreek" неожиданно прервана. Это произошло (раз): 1.
|
| | Система | Внимание | 223 | 2021-08-01 19:07:42 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение System с ИД процесса 4 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:07:42 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_helper_host.exe с ИД процесса 1140 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:07:42 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\FaultFixes.exe с ИД процесса 1296 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:07:42 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume4\Program Files (x86)\Intel\Driver and Support Assistant\DSAService.exe с ИД процесса 4200 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:07:42 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\wgc.exe с ИД процесса 9328 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:07:42 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 9512 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:07:42 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\WargamingErrorMonitor.exe с ИД процесса 10636 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:07:42 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 10984 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:07:42 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\Wargaming.net\GameCenter\dlls\wgc_renderer_host.exe с ИД процесса 11140 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | 223 | 2021-08-01 19:07:42 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 225: Приложение \Device\HarddiskVolume1\Programms\IObit\Driver Booster\8.6.0\DrvInstall\DpInstX64.exe с ИД процесса 11212 остановило удаление или извлечение для устройства PCI\VEN_8086&DEV_A103&SUBSYS_16D01043&REV_31\3&11583659&0&B8.
|
| | Система | Внимание | Нет | 2021-08-01 19:13:01 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 212 | 2021-08-01 19:13:19 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Внимание | Нет | 2021-08-01 19:13:26 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:13:26 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:13:48 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:14:42 | | ACPI | 15: ?: встроенный контроллер (EC) возвратил данные при отсутствии запроса на них. BIOS пытается получить доступ к встроенному контроллеру без синхронизации с операционной системой. Эти данные будут проигнорированы. Никаких действий не требуется, но рекомендуется связаться с производителем компьютера для получения обновленной версии BIOS.
|
| | Система | Внимание | Нет | 2021-08-01 19:14:44 | | ACPI | 15: ?: встроенный контроллер (EC) возвратил данные при отсутствии запроса на них. BIOS пытается получить доступ к встроенному контроллеру без синхронизации с операционной системой. Эти данные будут проигнорированы. Никаких действий не требуется, но рекомендуется связаться с производителем компьютера для получения обновленной версии BIOS.
|
| | Система | Внимание | Нет | 2021-08-01 19:14:54 | | ACPI | 15: ?: встроенный контроллер (EC) возвратил данные при отсутствии запроса на них. BIOS пытается получить доступ к встроенному контроллеру без синхронизации с операционной системой. Эти данные будут проигнорированы. Никаких действий не требуется, но рекомендуется связаться с производителем компьютера для получения обновленной версии BIOS.
|
| | Система | Внимание | Нет | 2021-08-01 19:15:10 | | ACPI | 15: ?: встроенный контроллер (EC) возвратил данные при отсутствии запроса на них. BIOS пытается получить доступ к встроенному контроллеру без синхронизации с операционной системой. Эти данные будут проигнорированы. Никаких действий не требуется, но рекомендуется связаться с производителем компьютера для получения обновленной версии BIOS.
|
| | Система | Внимание | Нет | 2021-08-01 19:15:11 | | ACPI | 15: ?: встроенный контроллер (EC) возвратил данные при отсутствии запроса на них. BIOS пытается получить доступ к встроенному контроллеру без синхронизации с операционной системой. Эти данные будут проигнорированы. Никаких действий не требуется, но рекомендуется связаться с производителем компьютера для получения обновленной версии BIOS.
|
| | Система | Внимание | Нет | 2021-08-01 19:15:30 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:15:30 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 19:19:13 | | volmgr | 161: Не удалось создать файл дампа из-за ошибки при создании дампа.
|
| | Система | Внимание | 212 | 2021-08-01 19:19:14 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Ошибка | Нет | 2021-08-01 19:19:18 | | EventLog | 6008: Предыдущее завершение работы системы в 19:14:19 на ?01.?08.?2021 было неожиданным.
|
| | Система | Внимание | Нет | 2021-08-01 19:19:20 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:19:20 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:19:41 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:21:25 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:21:25 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | 1014 | 2021-08-01 19:27:36 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени gamewins.net истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Ошибка | Нет | 2021-08-01 19:43:09 | Tsubasa | DCOM | 10010: Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не выполнена за отведенное время ожидания.
|
| | Система | Ошибка | Нет | 2021-08-01 19:44:16 | | volmgr | 161: Не удалось создать файл дампа из-за ошибки при создании дампа.
|
| | Система | Внимание | 212 | 2021-08-01 19:44:17 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Ошибка | Нет | 2021-08-01 19:44:21 | | EventLog | 6008: Предыдущее завершение работы системы в 19:43:25 на ?01.?08.?2021 было неожиданным.
|
| | Система | Внимание | Нет | 2021-08-01 19:44:24 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:44:24 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:44:40 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 19:47:24 | | volmgr | 161: Не удалось создать файл дампа из-за ошибки при создании дампа.
|
| | Система | Внимание | 212 | 2021-08-01 19:47:24 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Ошибка | Нет | 2021-08-01 19:47:28 | | EventLog | 6008: Предыдущее завершение работы системы в 19:44:21 на ?01.?08.?2021 было неожиданным.
|
| | Система | Внимание | Нет | 2021-08-01 19:47:31 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:47:31 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:47:48 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:49:35 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 19:49:35 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 20:07:29 | | disk | 11: Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR2.
|
| | Система | Внимание | Нет | 2021-08-01 20:08:25 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 20:08:35 | СИСТЕМА | Microsoft-Windows-Bits-Client | 16392: Не удалось запустить службу BITS. Ошибка: 2147500053.
|
| | Система | Внимание | Нет | 2021-08-01 20:08:42 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 212 | 2021-08-01 20:08:46 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Внимание | Нет | 2021-08-01 20:08:57 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 212 | 2021-08-01 20:17:29 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Внимание | Нет | 2021-08-01 20:17:36 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 20:17:36 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 20:17:49 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | 1014 | 2021-08-01 20:18:20 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени loki.efind.ru истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Внимание | Нет | 2021-08-01 20:19:42 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 20:19:42 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | 212 | 2021-08-01 20:24:53 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Ошибка | Нет | 2021-08-01 20:24:58 | | EventLog | 6008: Предыдущее завершение работы системы в 20:24:46 на ?01.?08.?2021 было неожиданным.
|
| | Система | Внимание | Нет | 2021-08-01 20:25:00 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 20:25:00 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 20:25:17 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 20:25:31 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 20:25:38 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | 1014 | 2021-08-01 20:26:19 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени loki.efind.ru истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Внимание | Нет | 2021-08-01 21:43:18 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 21:43:18 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 21:43:18 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 21:43:25 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 21:45:28 | СИСТЕМА | Microsoft-Windows-WLAN-AutoConfig | 10002: Модуль расширяемости беспроводной сети остановлен. Путь к модулю: C:\Windows\system32\IntelIHVRouter06.dll
|
| | Система | Внимание | 212 | 2021-08-01 21:47:05 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Внимание | Нет | 2021-08-01 21:47:13 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 21:47:13 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 21:49:29 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 21:51:16 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 21:51:16 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Ошибка | Нет | 2021-08-01 22:02:34 | | volmgr | 161: Не удалось создать файл дампа из-за ошибки при создании дампа.
|
| | Система | Внимание | 212 | 2021-08-01 22:02:35 | СИСТЕМА | Microsoft-Windows-Kernel-PnP | 219: Сбой загрузки драйвера \Driver\WudfRd для устройства PCI\VEN_8086&DEV_1903&SUBSYS_16D01043&REV_07\3&11583659&0&20.
|
| | Система | Ошибка | Нет | 2021-08-01 22:02:39 | | EventLog | 6008: Предыдущее завершение работы системы в 21:47:18 на ?01.?08.?2021 было неожиданным.
|
| | Система | Внимание | Нет | 2021-08-01 22:02:42 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 22:02:42 | LOCAL SERVICE | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 22:03:00 | Tsubasa | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 22:04:45 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 22:04:45 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 22:19:14 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 22:19:41 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | Система | Внимание | Нет | 2021-08-01 22:22:01 | Tsubasa | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-F1CGCQV\Tsubasa с ИД безопасности (S-1-5-21-3866702510-2991017552-1842836080-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1023_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|